平安资讯报告
PhoneSpy恶意软件毁坏Android隐衷
周三,Zimperium zLabs公布了一份对于PhoneSpy的新报告,PhoneSpy是一种特务软件,旨在浸透在谷歌Android操作系统上运行的手机。
最新的PhoneSpy流动仿佛集中在韩国,恶意软件被捆绑到看似良性的挪动应用程序中,包含消息传递、瑜伽领导、照片收集和浏览实用程序以及电视/视频流软件。zLabs狐疑感化媒介是应用公布到网站或社交媒体渠道的网络钓鱼链接。
一旦受害者装置并执行应用程序的APK文件,PhoneSpy就会被部署。PhoneSpy的指标是韩语用户,并会抛出一个网络钓鱼页面,伪装来自风行的服务——例如Kakao Talk音讯应用程序——以申请权限并窃取凭据。
该恶意软件被形容为一种“高级”近程拜访木马(RAT),可能悄悄地对受害者进行监督并将数据发送到命令和管制(C2)服务器。PhoneSpy的性能包含通过GPS监控受害者的地位;通过劫持手机麦克风和前后摄像头实时录制音频、图像和视频;拦挡和窃取SMS音讯、呼叫转移、通话记录和联系人列表偷盗、代表恶意软件的运营商发送音讯以及泄露设施信息。
PhoneSpy已开发出具备混同和暗藏性能,并将暗藏其图标以不被发现——这是特务软件和跟踪软件采纳的常见策略。恶意软件还可能尝试卸载用户应用程序,包含挪动安全软件。zLabs认为,该流动已被用来收集“来自受害者的大量集体和公司信息,包含私人通信和照片”。
新闻来源:
https://www.zdnet.com/article…
考察显示,美国勒索软件受害者的均匀领取额超600万美元
Mimecast的一份新报告发现,在勒索软件事件产生后,美国在领取金额方面处于领先地位。钻研人员与742名网络安全业余人员进行了交谈,发现其中80%在过来两年中已成为勒索软件的指标。
在这80%中,39%领取了赎金,美国受害者均匀领取了6,312,190美元。加拿大受害者均匀领取5,347,508美元,英国受害者领取了近850,000美元。南非、澳大利亚和德国的受害者均匀领取的费用都低于250,000美元。
超过40%的受访者没有领取任何赎金,另外13%的受访者可能通过会谈升高最后的赎金数字。在与Mimecast交谈的742位专家中,超过一半示意勒索软件攻打的次要起源来自带有勒索软件附件的网络钓鱼电子邮件,另有47%示意它们源自“网络安全”。
不到一半的受访者示意他们有文件备份,能够在产生勒索软件攻打时应用,近50%的受访者示意他们须要更大的估算来更新他们的数据安全零碎。勒索软件事件的老本远远超出了赎金自身;42%的考察受访者示意他们的经营中断了,36%的受访者示意他们面临着重大的停机工夫。近30%的人示意他们失去了支出,21%的人示意他们失去了客户。
近40%的承受考察的网络安全专业人士示意,如果勒索软件攻打胜利,他们将失去工作。
新闻来源:
https://www.zdnet.com/article…
新的Android恶意软件以Netflix、Instagram和Twitter用户为指标
一种名为MasterFred的新型Android恶意软件应用虚伪登录笼罩来窃取Netflix、Instagram和Twitter用户的信用卡信息。这种新的Android银行木马还针对银行客户提供多种语言的自定义虚伪登录笼罩。
Avast威逼实验室的钻研人员发现内置的Android辅助性能服务提供的API来歹意笼罩界面。“通过利用默认装置在Android上的应用程序可拜访性工具包,攻击者可能应用该利用程序实施Overlay攻打,以坑骗用户输出信用卡信息,以避免Netflix和Twitter上的虚伪帐户泄露。”这些Android恶意软件还捆绑了用于显示虚伪登录表单和收集受害者财务信息的HTML覆盖层。
新闻来源:
https://www.bleepingcomputer….
Lazarus黑客应用木马IDA Pro攻打钻研人员
黑客组织Lazarus再次试图入侵平安钻研人员,这次是应用风行的IDA Pro(逆向工程应用程序)植入木马的盗版版本。
IDA Pro是一种将可执行文件转换为汇编语言的应用程序,容许平安钻研人员和程序员分析程序的工作形式并发现潜在的谬误。平安钻研人员通常应用IDA来剖析非法软件的破绽和恶意软件。然而,因为IDA Pro是一款低廉的应用程序,因而一些钻研人员下载了盗版破解版而不是购买。
Lazarus黑客组织,长期以来始终利用后门和近程拜访木马来攻打平安钻研人员。Lazarus攻打还应用Internet Explorer 0day破绽在平安钻研人员拜访攻击者发送的链接时在其设施上部署恶意软件。
新闻来源:
https://www.bleepingcomputer….
安全漏洞威逼
Palo Alto安全设备中发现零日破绽
钻研人员开发了一种无效利用,通过Palo Alto Networks(PAN)的安全设备中的一个重大破绽取得近程代码执行(RCE),这可能会使10,000个易受攻击的防火墙及其产品裸露在互联网上。
要害的零日破绽被追踪为CVE2021-3064,破绽严重性的CVSS评级为9.8分(满分10分),位于PAN的Global Protect防火墙中。它容许在8.1.17之前的多个版本的PAN-OS8.1上进行未经身份验证的RCE,在物理和虚构防火墙上。
11102114:04更新:PAN更新涵盖9.0和9.1版,但依据Randori的钻研,这些版本不易受到此特定CVE的影响。一位发言人通知Threatpost,对非8.1版本的任何更新都可能与CVE2021-3064无关。
11102117:28更新:Palo Alto已更新其布告,以廓清此谬误不影响8.1.17之前的PAN-OS8.1以外的版本。
Randori钻研人员在周三的一篇帖子中示意,如果攻击者胜利利用该破绽,他们能够取得指标零碎的shell,拜访敏感配置数据,提取凭据等。
之后,攻击者能够逾越指标组织,他们说:“一旦攻击者管制了防火墙,他们就能够看到外部网络并能够持续横向挪动。”
通过对裸露在互联网上的设施的Shodan搜寻,Randori最后认为“在面向互联网的资产上裸露了70,000多个易受攻击的实例”。
11102117:30更新:Palo Alto Network告诉Randori,受影响的设施数量靠近10,000。
新闻来源:
https://threatpost.com/massiv…
间谍活动者利用ManageEngine ADSelfService Plus破绽,TA505利用SolarWinds Serv-U破绽部署勒索软件
Palo Alto Networks的钻研人员形容了一场利用Zoho的ManageEngine ADSelfService Plus单点登录(SSO)解决方案中的破绽的网络间谍活动。美国网络安全和基础设施安全局(CISA)于2021年9月公布了对于此破绽的警报CVE-2021-40539。CISA称该破绽是“一个影响表征状态转移(REST)应用程序编程接口(API)的身份验证绕过破绽能够启用近程代码执行的URL。”
Unit42示意,在9月22日至10月初之间,“该行为者胜利地毁坏了技术、国防、医疗保健、能源和教育行业的至多九个寰球实体。”钻研人员尚未将此次流动归因于任何特定的威逼行为者,攻击者正在部署Godzillaweb shell和NGLite木马(两者都是公开可用的),以及一个名为“KdcSponge”的新凭证窃取程序:
TA505利用SolarWinds Serv-U破绽部署勒索软件。NCC Group钻研人员正在追踪利用SolarWinds Serv-U中的近程代码执行破绽(CVE-2021-35211)的Clop勒索软件攻打的回升趋势。该破绽于7月由微软披露。NCC Group将这些攻打归咎于网络犯罪分子TA505,并指出:“咱们认为,利用此类破绽是TA505最近的初始拜访技术,与攻击者通常的基于网络钓鱼的办法有所不同。”
NCC Group倡议用户将运行SolarWinds Serv-U软件的零碎更新到最新版本。钻研人员指出,截至10月,寰球66.5%(2,784)的Serv-U实例依然容易受到攻打。
新闻来源:
https://thecyberwire.com/news…
微软正告:立刻修补Exchange Server破绽,多因素身份验证可能无奈阻止攻打
微软曾经为其Exchange外部部署电子邮件服务器软件公布了安全更新,企业应该采纳这些更新。这些安全更新针对的是Exchange Server 2013、2016和2019中的缺点——这些Exchange的外部部署版本在往年早些时候被微软称为Hafnium的黑客组织攻陷。外部部署Exchange服务器软件中的四个破绽被利用。微软正告说,一个新修补的破绽-跟踪为CVE-2021-42321-也受到攻打。
Exchange破绽CVE-2021-42321是Exchange 2016和2019中的一个“身份验证后破绽。倡议立刻装置这些更新。“这些破绽会影响本地Microsoft Exchange Server,包含客户在Exchange混合模式下应用的服务器。Exchange Online客户曾经受到爱护,无需采取任何口头,”微软指出。
微软证实,双因素身份验证不肯定能避免攻击者利用新的Exchange破绽,尤其是在帐户已被盗用的状况下。如果身份验证胜利,那么CVE-2021-42321可能会被利用。
新闻来源:
https://www.zdnet.com/article…
西门子Nucleus TCP/IP堆栈中的13个破绽影响关键设备
在Nucleus TCP/IP堆栈中发现了多达13个安全漏洞,该软件库当初由西门子保护,用于30亿个经营技术和物联网设施,能够容许近程代码执行、拒绝服务(DoS),以及信息泄露。
Forescout和Medigate的钻研人员在报告中示意,统称为“NUCLEUS:13”,胜利利用这些破绽的攻打可能“导致设施离线并被劫持”,并“将恶意软件流传到网络上的任何中央”周二公布的一份技术报告,其中一个概念验证(PoC)胜利展现了一种可能会毁坏医疗保健和要害流程的场景。
其中最重大的问题是CVE-2021-31886(CVSS评分:9.8),这是一个影响FTP服务器组件的基于堆栈的缓冲区溢出破绽,无效地使歹意行为者可能编写任意代码、劫持执行流程和实现代码执行,并在此过程中管制易受攻击的设施。另外两个重大影响FTP服务器的破绽(CVE-2021-31887和CVE-2021-31888)能够被武器化以实现DoS和近程代码执行。
新闻来源:
https://thehackernews.com/202…
发表回复