平安资讯报告
网络安全公司Mandiant股价大涨,有报道称微软无意收买
MandiantInc.(MNDT)在齐全剥离FireEye设施业务后进入新的一年,这家网络安全软件和服务公司周二颁布的业绩超过了华尔街的预期。
Mandiant的股价在财报公布后的盘后交易中上涨了3%,此前在惯例交易中开盘时上涨了近18%,此前有报道称微软(Microsoft Corp.,MSFT)正在洽谈收买Mandiant。
去年10月8日,FireEye剥离其传统产品业务,集中于基于云的服务和情报征询业务,并更名Mandiant。自从那次拆分后,Mandiant可能更好地专一于它认为本人善于的畛域。
新闻来源:
https://cn.wsj.com/articles/%…
恶意软件在感化PC后仅30分钟就开始浏览您的电子邮件
依据网络安全机构DFIR对10月份发现的样本的剖析,Qbot恶意软件于2007年呈现,使其在以服务为主导的新勒索软件世界中简直成为古董,但该恶意软件依然灵便高效。
该恶意软件的运营商依赖可点击的网络钓鱼音讯,包含征税揭示、工作机会和COVID-19警报。它能够从Chrome、Edge、电子邮件和网上银行明码中窃取数据。
DFIR钻研人员钻研了一个案例,其中初始拜访权限未知,但很可能是通过受净化的Microsoft Excel文档传递的,该文档配置为从网页下载恶意软件,而后应用Windows打算工作来取得对系统的更高级别的拜访权限。
在首次拜访30分钟后,察看到Qbot从中毒电脑收集数据,包含浏览器数据和来自Outlook的电子邮件。在感化大概50分钟后,中毒零碎将Qbot dll复制到相邻的工作站,而后由近程执行创立服务。几分钟后,这台电脑对另一个相邻的工作站做了同样的事件,而后持续下一个……
Qbot的运营商曾经扩大到勒索软件。平安公司卡巴斯基报告称,与去年相比,截至2021年7月的六个月内,Qbot恶意软件感化的PC数量减少了65%。微软因其模块化设计使其难以检测到,因而重点关注该恶意软件。
该恶意软件暗藏歹意过程并创立打算工作以保留在机器上。一旦在受感化的设施上运行,它就会应用多种技术进行横向挪动。FBI正告说,Qbot木马被用来散发ProLock,这是一种“人为操作的勒索软件”。
新闻来源:
https://www.zdnet.com/article…
伊朗黑客事件震惊了寰球网络安全社区
在2021年的最初几天,总部位于德黑兰的网络安全公司Amnpardaz Software Co.具体介绍了一个惊人的发现:一台惠普服务器中存在一段神秘的恶意代码。
当Amnpardaz于12月发表发现该恶意软件时,它引起了平安专业人士的留神。Amnpardaz示意,其技术人员于2020年首次发现该可疑软件,过后一位客户提供了一台仿佛呈现故障的HPE服务器。这台机器始终在失常运行,但仿佛是出于本人的志愿,它开始重复删除其硬盘驱动器。
Amnpardaz考察并发现有人在HPE服务器的Integrated Lights Out固件中嵌入了一个精心设计的恶意软件,使IT经理可能近程拜访机器——即便它们已关闭电源。
恶意软件禁用了服务器上的要害安全控制。该公司示意,它发现了黑客应用该恶意软件近程拜访服务器至多六个月的证据,而后触发了自毁循环以革除攻打的证据。
恶意软件应用了服务器2017年修复的iLO固件中的一个破绽。“咱们无奈理解这台服务器是如何进入伊朗的。HPE不会间接或间接向伊朗或打算向伊朗发送产品的任何客户销售产品。”因为美国政府的制裁,美国公司简直齐全禁止向伊朗销售产品,但这些技术通常能够通过宏大的独立经销商和第三方网络非法获取。
在钻研Amnpardaz的调查结果后,位于俄勒冈州的固件平安公司Eclypsium Inc.示意,该恶意软件“已被证实是隐秘的、长久的和破坏性的”,对被毁坏的机器进行“简直无所不能的管制”能力。
新闻来源:
https://www.bloomberg.com/new…
伪造的Windows 11降级安装程序会感化RedLine恶意软件
威逼参与者已开始向Windows 10用户散发虚伪的Windows 11降级安装程序,诱使他们下载和应用RedLine窃取恶意软件。
攻打的机会恰逢微软发表Windows 11阶段。RedLine窃取程序是目前部署最宽泛的明码、浏览器cookie、信用卡和加密货币钱包信息抓取程序,因而其感化会窃取受害者要害隐衷信息。
钻研人员称,攻击者应用看似非法的“windows-upgraded.com”域来进行其流动的恶意软件散发局部。
该站点看起来像一个真正的Microsoft站点,如果访问者单击“立刻下载”按钮,他们会收到一个1.5MB的ZIP存档,名为“Windows11InstallationAssistant.zip”。
解压后会生成一个大小为753MB的文件夹,当受害者启动文件夹中的可执行文件时,一个带有编码参数的PowerShell过程就会启动。最终下载歹意DLL文件,该DLL文件是一个RedLine窃密木马的无效负载,它通过TCP连贯到C2服务器,以执行近程歹意指令。
新闻来源:
https://www.bleepingcomputer….
Lazarus黑客以虚伪的洛克希德马丁工作机会瞄准国防工业
高级继续威逼(APT)组织在最近的口头中假冒洛克希德马丁公司。这家总部位于马里兰州贝塞斯达的公司涉足航空、军事技术、工作零碎和太空摸索。洛克希德马丁公司在2020年发明了654亿美元的销售额,在寰球领有约114,000名员工。
2月8日,威逼钻研的Qualys高级工程师AkshatPradhan走漏了一项新的流动,该流动应用洛克希德马丁公司的名义攻打求职者。与过来滥用Northrop Grumman和BAE Systems名誉的流动相似,Lazarus正在向指标发送网络钓鱼文件,伪装提供就业机会。
在相干钻研中,Outpost24的Blueliv网络安全团队将Lazarus、Cobalt和FIN7列为当今针对金融行业的最广泛的威逼群体。
新闻来源:
https://www.zdnet.com/article…
美国拘捕了两人并没收了在2016年Bitfinex黑客攻击中被盗的36亿美元加密货币
美国司法部(DoJ)周二发表拘捕一对已婚夫妇,他们共谋洗钱价值45亿美元的加密货币,该加密货币在2016年虚构货币交易所Bitfinex受到黑客攻击期间被盗用。
34岁的伊利亚·利希滕斯坦(Ilya Lichtenstein)和他的妻子、31岁的希瑟·摩根(Heather Morgan)被指控“通过迷宫般的加密货币交易窃取资金”,执法部门通过追踪这笔钱取得了超过36亿美元的加密货币形迹,导致“有史以来最大的金融扣押”。
洗钱打算波及通过启动2,000多笔未经受权的交易,将119,754比特币(BTC)的收益从Bitfinex转移到Lichtenstein管制下的数字钱包中。在过来五年中,大概25,000个被盗比特币随后被转移并存入这对夫妇持有的金融账户。
为了实现这一指标,原告应用了许多简单的洗钱办法,包含——
- 应用虚伪身份设置在线帐户,
- 应用软件自动化交易,
- 将被盗资金存入各种虚构货币交易所和暗网市场的账户,以混同交易线索,
- 将比特币转换为其余私人数字货币,如门罗币,一种称为链跳的做法,以及
- 滥用美国企业账户使其银行流动合法化
依据法院受权对两人管制的在线账户的搜查令,执法人员最终取得了对保留在Lichtenstein的云存储账户中的文件的拜访权限,该文件蕴含拜访用于接管资金的数字钱包所需的私钥,从而使当局发出残余的94,000多枚比特币。
Lichtenstein和Morgan都被控串谋洗钱,最高可判处20年监禁,以及串谋欺骗美国,最高可判处5年监禁。
新闻来源:
https://thehackernews.com/202…
FBI正告犯罪分子降级SIM卡替换攻打以窃取数百万美元
联邦调查局(FBI)示意,犯罪分子已降级SIM卡替换攻打,通过劫持受害者的电话号码窃取数百万美元。
骗子通过应用社会工程或在一名或多名行贿员工的帮忙下诱使电话服务提供商将指标的电话号码替换为攻击者管制的SIM卡来做到这一点。移植SIM卡后,犯罪分子将收到受害者的电话和音讯,从而非常容易绕过基于SMS的MFA、窃取凭据并管制受害者的在线服务帐户。
FBI的正告是在美国联邦通信委员会(FCC)于10月发表开始制订规定以阻止SIM替换攻打之后收回的。FCC的动作是消费者收到大量投诉的后果,这些投诉波及SIM卡替换攻打和移植欺诈导致的重大苦楚和财务损失。
从2018年1月到2020年12月,FBI互联网立功投诉核心(IC3)收到了320起与SIM替换事件相干的投诉,调整后损失约为1200万美元。2021年,IC3收到了1,611起SIM替换投诉,调整后损失超过6800万美元。
新闻来源:
https://www.bleepingcomputer….
伊朗黑客在“出海”间谍活动中应用新的Marlin后门
一个与伊朗有分割的高级持续性威逼(APT)组织更新了其恶意软件工具集,以包含一个名为Marlin的新后门,作为2018年4月开始的长期间谍活动的一部分。
斯洛伐克网络安全公司ESET将这些代号为“OuttoSea”的攻打归因于名为OilRig(又名APT34)的威逼行为者,同时还最终将其流动与以Lyceum(Hexaneaka Siamese Kitten)为名追踪的第二个伊朗组织分割起来。
“该流动的受害者包含以色列、突尼斯和阿拉伯联合酋长国的内政组织、科技公司和医疗组织。”ESET在其与黑客新闻共享的T32021威逼报告中指出。
该黑客组织至多从2014年开始沉闷,家喻户晓,它袭击了中东政府和各种垂直行业,包含化学、能源、金融和电信。2021年4月,以名为SideTwist的植入物针对黎巴嫩,而此前归因于Lyceum的流动已针对以色列、摩洛哥、突尼斯和沙特阿拉伯的IT公司进行了攻打。
还值得注意的是,自2018年该流动曝光以来,它们曾经演变为放弃多个后门——从DanBot开始,到2021年过渡到Shark和Milan——利用新的数据收集在2021年8月检测到攻打名为Marlin的恶意软件。
新闻来源:
https://thehackernews.com/202…
安全漏洞威逼
顶级服务器发现重大安全漏洞
平安公司Binarly发现了20多个暗藏在BIOS/UEFI软件中的破绽,这些破绽来自各种零碎供应商,包含英特尔、微软、联想、戴尔、富士通、惠普、HPE、西门子和Bull Atos。
Binarly发现这些问题与InsydeH20的应用无关,InsydeH20是一种用于构建主板对立可扩大固件接口(UEFI)的框架代码,它是计算机操作系统和固件之间的接口。
上述所有供应商都应用Insyde的固件SDK进行主板开发。预计其余外部和第三方BIOS供应商产品中也存在相似类型的破绽。
这些破绽特地危险,因为基于UEFI/BIOS的攻打能够绕过基于固件的平安机制。这些破绽包含SMM调配或权限晋升、SMM内存损坏和DXE内存损坏。
这些破绽造成的潜在侵害十分重大,攻击者能够利用它们绕过基于硬件的平安性能,例如平安启动、基于虚拟化的平安(VBS)和可信平台模块(TPM)。这些破绽存在于UEFI中,容许恶意软件装置在零碎上,即便硬盘格式化操作系统重装后依然存在。
新闻来源:
https://www.networkworld.com/…
SAP为ICMAD破绽、log4j问题等公布补丁
网络安全公司Onapsis发现SAP三个CVSS为10、8.1和7.5的破绽后,SAP已对其进行了修补。
这些补丁是该公司公布的对于一系列平安问题的19个平安阐明的一部分。其中三个破绽与log4j相干,CVSS为10。
Onapsis发现的破绽——被称为“ICMAD”——容许攻击者对SAP用户、业务信息和流程执行重大的歹意流动,最终危及未修补的SAP应用程序。这些问题围绕着SAP的Internet通信管理器(ICM),这是他们许多应用程序的外围组件。
ICM是在SAP零碎中启用HTTP(S)通信的SAP组件。两家公司解释说,因为ICM在设计上裸露于互联网和不受信赖的网络,因而该组件中的破绽具备更高的危险程度。
Onapsis的首席技术官JPPerez-Etchegoyen通知ZDNet,通过一个申请,攻击者就可能以纯文本模式窃取每个受害者会话和凭据,并批改应用程序的行为。
Perez-Etchegoyen说:“对于攻击者来说,滥用这些破绽可能很简略,因为它不须要先前的身份验证,没有必要的先决条件,并且有效载荷能够通过HTTP(S)发送。”
Onapsis首席执行官兼联结创始人Mariano Nunez认为:“这些破绽能够通过互联网被利用,而无需攻击者在指标零碎中进行身份验证,这使得它们十分要害。”
新闻来源:
https://www.zdnet.com/article…
发表回复