平安资讯报告
黑客在最新的供应链攻打中应用Skimmer瞄准房地产网站
攻击者利用云视频托管服务对苏富比房地产公司经营的100多个房地产网站进行供应链攻打,其中波及注入歹意撇油器以窃取敏感的个人信息。
Palo Alto Networks的Unit42钻研人员在本周公布的一份报告中说:“攻击者将Skimmer JavaScript代码注入到视频中,因而每当其他人导入视频时,他们的网站也会嵌入Skimmer代码。”
Skimmer攻打,也称为表单劫持,波及一种网络攻击,其中不法分子将歹意JavaScript代码插入指标网站,最常见的是购物和电子商务门户网站上的结账或领取页面,以获取信用卡等有价值的信息用户输出的详细信息。
在Magecart攻打的最新版本中,该流动背地的操作员毁坏了苏富比的Brightcove帐户,并通过篡改能够上传的脚本将恶意代码部署到云视频平台的播放器中,以便向视频播放器增加JavaScript恶意代码。
新闻来源:
https://thehackernews.com/202…
Malsmoke黑客在ZLoader网络攻击中滥用Microsoft签名验证
Check Point Research(CPR)示意,截至目前,在一项新流动中在寰球范畴内发现了2,100多名受害者,其中大多数人寓居在美国、加拿大和印度。被称为ZLoader的恶意代码过来曾被用来传送银行木马,并与多个勒索软件毒株密切相关。
新的攻打流动被认为是在2021年11月开始的。在最后的攻打阶段,恶意软件的操作者决定应用Atera(非法的远程管理软件)作为感化零碎的跳板。
尽管目前尚不分明蕴含Atera的恶意软件包是如何散发的,但在装置时,Atera还会显示一个伪造的Java安装程序。然而,该文件正忙于装置将端点PC连贯到攻击者帐户的代理,从而容许他们近程部署歹意负载。
值得注意的是一个签名的歹意.DLL文件,用于感化带有ZLoader的机器。该文件已被批改,并通过利用CVE-2020-1599、CVE-2013-3900和CVE-2012-0151中PE文件签名验证中的一个已知破绽。尽管几年前公布了修复程序,但因对非法安装程序的误报导致补丁未被默认装置。
新闻来源:
https://www.zdnet.com/article…
iOS恶意软件可伪装iPhone关机以窥探摄像头、麦克风
钻研人员开发了一种新技术,能够伪造iPhone关机或重启,避免恶意软件被删除,并容许黑客机密监听麦克风并通过实时网络连接接管敏感数据。
从历史上看,当恶意软件感化iOS设施时,只需重新启动设施即可将其删除,从而将恶意软件从内存中革除。
然而,这种技术挂钩了关机和重启例程以避免它们产生,容许恶意软件实现持久性,因为设施实际上从未真正敞开过。
ZecOps的平安钻研人员开发了一种木马PoC(概念证实)工具,该工具能够将特制代码注入三个iOS守护程序,通过禁用上述所有指标来假敞开。该木马通过钩住发送到“SpringBoard”(用户界面交互守护过程)的信号来劫持敞开事件。木马将发送一个代码来强制“SpingBoard”退出,而不是预期的信号,从而使设施对用户输出无响应。在这种状况下,这是完满的假装,因为进入关机状态的设施天然不再承受用户输出。
新闻来源:
https://www.bleepingcomputer….
黑客从17家公司窃取了110万个客户账户
纽约州总检察长办公室(NY OAG)正告17家出名公司,他们约有110万客户的用户帐户在撞库攻打中受到入侵。攻击者的最终目标是拜访尽可能多的帐户,以窃取相干的集体和财务信息,这些信息能够在黑客论坛或暗网上发售。
威逼行为者还能够在各种身份盗用欺骗中自行应用这些信息或进行未经受权的购买。
NY OAG在监督多个在线社区后,通过几个月的“全面考察”后发现了这些受感化的在线帐户,这些社区致力于共享在以前未被发现的撞库攻打中收集的通过验证的凭据。
依据Akamai于2021年5月公布的一份报告,该公司在2020年察看到寰球超过1930亿次撞库攻打,比上一年增长了45%。
Digital Shadows去年还报道称,目前有超过150亿份凭证在网上共享或发售,其中大部分属于消费者。
新闻来源:
https://www.bleepingcomputer….
钻研人员揭开有组织的金融偷盗口头背地的黑客组织——大象甲虫
网络安全钻研人员揭开了一个审慎的攻击者进行的有组织的金融偷盗口头的机密,该口头以交易解决零碎为指标,并从次要位于拉丁美洲的实体中窃取资金至多四年。
以色列事件响应公司Sygnia将歹意黑客组织的代号命名为Elephant Beetle(大象甲虫),在对指标的财务结构进行宽泛钻研后,该组织通过在良性流动中注入欺诈性交易来攻打银行和批发公司。
钻研人员在与The Hacker News分享的一份报告中说:这种攻打以其奇妙的简略性作为一种现实的策略,能够暗藏在显眼的中央,无需开发任何破绽。并指出该组织与Mandiant跟踪的另一个组织的重叠作为FIN13,早在2016年就与墨西哥的数据偷盗和勒索软件攻打无关的“怠惰”威逼参与者。
据说大象甲虫利用不少于80种独特的工具和脚本来执行其攻打,同时采取措施长期融入受害者的环境以实现其指标。
“与象甲虫相干的独特作案手法是他们对受害者金融零碎和经营的深入研究和常识,以及他们一直寻找技术上注入金融交易的软弱办法,最终导致重大金融偷盗。这个群体在受害者网络中的长期存在,他们常常扭转和调整他们的技术和工具以持续放弃相关性。
Zilberstein将此次流动的胜利归因于金融机构网络中存在的遗留零碎提供的微小攻击面,这些零碎能够作为入口点,从而使攻击者可能在指标网络中取得永恒立足点。
初始拜访是通过利用面向内部的基于Java的Web服务器(如WebSphere和WebLogic)中未修补的破绽攻打,最终导致部署Webshell,从而实现近程代码执行和横向挪动——
- CVE-2017-1000486(CVSS分数:9.8)-Primefaces应用程序表达式语言注入
- CVE-2015-7450(CVSS分数:9.8)——WebSphereApplicationServerSOAP反序列化利用
- CVE-2010-5326(CVSS分数:10.0)——SAPNetWeaverInvokerServlet破绽利用
- EDB-ID-24963-SAPNetWeaverConfigServlet近程代码执行
新闻来源:
https://thehackernews.com/202…
安全漏洞威逼
Google Chrome更新修复了37个安全漏洞
谷歌本周发表在稳固通道中公布Chrome97,共有37个平安修复程序,其中24个针对内部钻研人员报告的破绽。
在内部报告的24个安全漏洞中,1个被评为重大级,10个为高严重性,10个为中等,3个为低级。最常见的破绽类型是开释后应用(七个谬误)和不正确的施行(八个问题)。
最重大的是CVE-2022-0096,这是存储中的一个开释后应用问题,可被利用在浏览器的上下文中执行代码。
此Chrome版本解决的10个高严重性缺点中有五个是影响屏幕捕捉、登录、SwiftShader、PDF和主动填充等组件的开释后应用谬误。
其余五个是DevTools中的不当实现、V8中的类型混同以及Bookmarks、V8和ANGLE中的堆缓冲区溢出。
一半的中等严重性问题是不正确的实现谬误,影响导航、主动填充、闪动和合成等组件。
其余缺点包含文件管理器API中的开释后应用、主动填充和浏览器UI中的平安UI不正确、Web Serial中的越界内存拜访以及文件API中的未初始化应用。
此Chrome版本中修复的低严重性谬误包含Service Workers中的策略绕过以及Web Share和明码中的不当实现。谷歌在其布告中没有提到任何被歹意攻打利用的已解决破绽。
新闻来源:
https://www.securityweek.com/…
本田、歌颂汽车被Y2K22破绽击中,时钟倒退到2002年
本田和歌颂汽车遇到了2022年的谬误,也就是Y2K22,它将导航系统的时钟重置为2002年1月1日,而且无奈更改。
从1月1日开始,歌颂和本田导航系统的日期将主动更改为2002年1月1日,工夫会依据车型或地区重置为12:00、2:00、4:00或其余工夫车位于。
本田和歌颂车主报告称,Y2K22破绽影响了简直所有旧车,包含本田Pilot、奥德赛、CRV、Ridgeline、奥德赛和歌颂MDX、RDX、CSX和TL车型。
尽管尚不分明是什么导致了本田/歌颂谬误,但在上周末,Microsoft Exchange受到了Y2K22谬误的攻打,该谬误导致电子邮件的交付解冻。
Microsoft的谬误是由存储在int32变量中的日期引起的,该变量只能包容2,147,483,647的最大值。然而,2022年的日期在2022年1月1日午夜的最小值为2,201,010,001,导致软件解体。
同样的谬误可能会影响本田和歌颂汽车,但本田客服示意应该会在2022年8月自行解决,这表明这可能是一个不同的问题。
新闻来源:
https://www.bleepingcomputer….
未修补的HomeKit破绽使iPhone、iPad蒙受DoS攻打
一位钻研人员宣称,苹果未能修补一个潜在的重大破绽,该破绽可被用来对iPhone和iPad发动拒绝服务(DoS)攻打。这个被称为doorLock的破绽由Trevor Spiniolas于8月10日报告给Apple,后者决定在1月1日披露他的发现。钻研人员示意,这家科技巨头最后打算在今年年底推出修复程序,但在12月的最初期限改为“2022年初”。
该破绽与HomeKit相干,HomeKit是Apple提供的用于从iPhone和iPad配置和管制智能家电的软件框架。该破绽可由歹意应用程序、手动重命名设施或向指标用户发送带有特制设施名称的邀请来触发。
“当HomeKit设施的名称产生更改时,新名称会存储在iCloud中,如果启用了家庭数据,则会在登录同一帐户的所有其余iOS设施上更新。iOS常常在没有任何用户交互的状况下更新这些数据,”钻研人员解释说。
Spiniolas示意,他胜利地在运行iOS和iPadOS14.7和最新15.2版本之间的各种iPhone和iPad设施上重现了该破绽,但他认为旧版本也可能受到影响。
Spiniolas正告说:“我置信这个问题使勒索软件在iOS上可行,这十分重要。有权拜访HomeKit设施所有者的家庭数据的应用程序可能会将他们锁定在本地数据之外,并阻止他们从新登录iOS上的iCloud,具体取决于iOS版本。攻击者还能够向应用上述任何iOS版本的用户发送蕴含歹意数据的Home邀请,即便他们没有HomeKit设施。”
新闻来源:
https://www.securityweek.com/…
发表回复