平安资讯报告
黑客因通过SIM卡劫持窃取数百万美元的加密货币而被判入狱
美国司法部(DoJ)示意,与名为The Community的国内黑客组织有关联的第六名成员因波及数百万美元的SIM替换诡计而被判刑。
来自美国密苏里州的22岁的加勒特·恩迪科特(Garrett Endicott)在2019年被起诉后抵赖了电信欺诈和重大身份偷盗的指控,被判入狱10个月,并被勒令领取总额为121,549.37美元的赔偿金。
指标是利用电话号码作为网关来劫持指标应用的不同在线服务,例如电子邮件、云存储和加密货币替换帐户,办法是重置他们的明码和通过短信发送的一次性验证码作为攻打的一部分。双因素身份验证(2FA)过程,使网络立功人员可能躲避安全措施。
美国司法部示意:“社区成员参加Sim Hijacking以从全国各地的受害者那里窃取加密货币,包含加利福尼亚、密苏里、密歇根、犹他、德克萨斯、纽约和伊利诺伊,”美国司法部示意,导致加密货币被盗。偷盗工夫从不同的受影响方的2,000美元到超过500万美元不等。
新闻来源:
https://thehackernews.com/202…
钻研显示针对彩色星期五购物者的网络钓鱼流动激增
电子邮件平安公司Egress公布的钻研表明,在彩色星期五之前,模拟次要品牌的网络钓鱼工具包激增,网络犯罪分子正在加紧对假日购物的网络钓鱼攻打节令。
这项与Orpheus Cyber单干进行的钻研揭开了网络犯罪分子如何筹备利用批发流动的神秘面纱,报告称与网络钓鱼工具包明确相干的拼写错误域名减少了397%。亚马逊是网络犯罪分子的热门抉择,在预期的彩色星期五促销流动之前,假冒该品牌的网络钓鱼工具包减少了334.1%。亚马逊是与网络钓鱼工具包相干的欺诈网页的顶级品牌,钻研人员察看到近4,000个模拟该品牌的网页——是风行的在线拍卖网站eBay检测到的网页数量的三倍,是美国批发巨头沃尔玛的四倍多。
专家认为,在圣诞节前的几个月里,对网络钓鱼工具包的需要将持续减少,网络犯罪分子会利用在此期间发送的实在营销电子邮件数量的减少来覆盖本人的歹意攻打。在此期间,网络犯罪分子通常会将他们的歹意攻打伪装成零售商优惠、订单确认或交货确认电子邮件。
新闻来源:
https://www.realwire.com/rele…
Microsoft Exchange Server在新的网络钓鱼流动中被滥用
专门从事通信技术危险和信息管理的征询公司Certitude的IT平安钻研人员称,威逼行为者正在利用未打补丁的Microsoft Exchange Server向不知情的客户发送网络钓鱼电子邮件。
这是另一场未打补丁的Exchange Server被滥用于歹意目标的流动。2021年8月,发现攻击者应用ProxyShell攻打针对未打补丁的Exchange服务器——2021年9月,Conti勒索软件从属公司正在应用ProxyShell破绽攻打未打补丁的Exchange服务器。
在一篇博客文章中,Certitude的Peter Wagner走漏,该公司于2021年11月初披露,该公司收到了无关发送到其客户电子邮件帐户的蕴含可疑URL的网络钓鱼电子邮件的信息。
这些电子邮件是作为对先前发送的音讯的回复发送的,因而这些电子邮件看起来是非法的。电子邮件标头表明这些来自客户的Exchange而不是来自内部起源的坑骗。
进一步的考察显示,该流动的指标是没有装置更新蕴含多个高危破绽的外部Exchange服务器。这些破绽包含ProxyShell(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)和ProxyLogon(CVE-2021-26855)。然而,钻研人员没有在Exchange服务器上发现恶意软件。
新闻来源:
https://www.hackread.com/unpa…
APT黑客越来越多地应用RTF注入进行网络钓鱼
APT黑客组织在最近的网络钓鱼流动中应用了一种新鲜的RTF(富文本格式)模板注入技术。这种技术是一种从近程URL检索歹意内容的简略而无效的办法,威逼分析师预计它很快就会笼罩更宽泛的威逼参与者。
富文本格式(RTF)文件是由Microsoft创立的一种文档格局,能够应用Microsoft Word、写字板和简直所有操作系统上的其余应用程序关上。创立RTF文件时,您能够蕴含一个RTF模板,用于指定文档中文本的格局。这些模板是在显示文件内容以正确格式化之前导入到RTF查看器的本地文件。
尽管RTF模板旨在本地托管,但攻击者当初正在滥用此非法性能来检索URL资源而不是本地文件资源。这种替换容许威逼行为者将歹意负载加载到Microsoft Word等应用程序中,或针对近程URL执行NTLM身份验证以窃取Windows凭据。此外,因为这些文件作为RTF模板传输,因而它们更容易绕过检测网络钓鱼钓饵,因为它们最后不存在于RTF文件中。
创立近程RTF模板非常简单,因为威逼行为者所要做的就是{*\templateURL}应用十六进制编辑器将命令增加到RTF文件中。该办法也实用于在Microsoft Word中关上的doc.rtf文件,强制应用程序在将内容提供给受害者之前从指定的URL检索资源。
Proofpoint在亲印度黑客组织DoNot Team、与俄罗斯有关联的Gamaredon黑客组织和TA423威逼参与者的网络钓鱼流动中察看到了这种有效载荷检索办法。为了抵挡这种威逼,您应该防止下载和关上通过未经请求的电子邮件达到的RTF文件,应用AV扫描仪扫描它们,并通过利用最新的可用安全更新来使您的Microsoft Office放弃最新状态。
新闻来源:
https://www.bleepingcomputer….
Microsoft Exchange服务器被黑客入侵以部署BlackByte勒索软件
BlackByte勒索软件团伙当初通过应用ProxyShell破绽利用Microsoft Exchange服务器来毁坏公司网络。
ProxyShell是一组三个Microsoft Exchange破绽的名称,这些破绽容许在链接在一起时在服务器上未经身份验证的近程代码执行。
自从钻研人员披露了这些破绽后,攻击者就开始利用它们来毁坏服务器并装置webshell、硬币矿工和勒索软件。
CVE-2021-34473-预身份验证门路混同导致ACL绕过(KB5001779于4月修补)
CVE-2021-34523-ExchangePowerShell后端的特权晋升(KB5001779于4月修补)
CVE-2021-31207-受权后任意文件写入导致RCE(KB5003435于5月修补)
钻研人员剖析了BlackByte勒索软件攻打,发现攻击者利用ProxyShell破绽在受感化的Microsoft Exchange服务器上安装webshell。WebShell是上传到Web服务器的小脚本,容许威逼行为者取得对设施的持久性并近程执行命令或将其余文件上传到服务器。利用植入的webshell在服务器上搁置Cobalt Strike信标,注入Windows更新代理过程。而后应用宽泛滥用的浸透测试工具在受感化零碎上转储服务帐户的凭据。最初,攻击者接管帐户,装置AnyDesk近程拜访工具,进入横向挪动阶段。
新闻来源:
https://www.bleepingcomputer….
安全漏洞威逼
惠普针对打印机产品破绽公布固件更新
HPInc.已针对影响其多功能打印机(MFP)产品的150多种型号的多个安全漏洞公布固件更新。
依据发现破绽并于2021年4月向惠普报告的F-Secure钻研人员称,它们对企业组织形成了威逼,因为它们为攻击者提供了一种窃取数据并在网络上立足的伎俩。
这些缺点也很危险,因为取证工具通常无奈从多功能打印机中复原证据。F-Secure示意,想要放弃隐身状态的攻击者能够利用这些破绽并留下很少的证据。
这些破绽被调配了两个破绽标识符:CVE-2021-39237是两个裸露的物理端口的繁多标识符,CVE-2021-39238是两个不同的字体解析缺点。蕴含破绽的惠普产品包含该公司的HP LaserJet、HP LaserJet Managed、HP PageWide和HP PageWide Managed打印机型号。
在发表补丁可用性的布告中,HP将其中一个破绽(CVE-2021-39238)形容为重大的缓冲区溢出问题,将另一个(CVE-2021-39237)形容为只能被某人利用的高严重性信息泄露破绽,利用破绽须要对设施进行物理拜访。
F-Secure示意能够通过多种形式利用这些破绽。这包含从USB驱动器打印、应用社会工程学压服用户打印歹意文档、在PDF中嵌入字体解析缺点的破绽利用或间接连贯到物理LAN端口并打印。
这些破绽存在于受影响的HP打印机的字体解析器和通信板中。字体解析器的缺点能够被近程利用并且是蠕虫病毒,这意味着攻击者能够创立可能在企业网络中易受攻击的打印机上自我复制的恶意软件。与此同时,通信板中的谬误只能被可能物理拜访设施的人利用。
新闻来源:
https://www.darkreading.com/v…
发表回复