关于资讯:9月30日全球网络安全热点|比特币网站被劫持AirTag丢失模式或被用于窃取账号密码

56次阅读

共计 3714 个字符,预计需要花费 10 分钟才能阅读完成。

1. 新型木马窃取超 1000 万人财产

新的恶意软件已嵌入至多 200 个歹意应用程序中,其中许多已设法绕过 Android 应用程序的官网存储库 Google Play 商店提供的爱护。

钻研人员示意,木马背地的运营商曾经胜利感化了如此多的设施,从而建设了稳固的非法资金现金流,“每个月产生数百万的经常性支出”。

据信,“GriftHorse”流动自 2020 年 11 月以来始终在运作,它依赖于受害者被骗交出他们的电话号码,而后应用该号码为他们订阅优质的短信服务。受害者首先下载看似无辜且非法的 Android 应用程序。这些应用程序从益智游戏和实用程序到约会软件、食品和饮料,其中最风行的歹意应用程序——翻译器——至多有 500,000 次下载。

在装置后,用 Apache Cordova 编写的 GriftHorse 木马会一直用音讯轰炸用户,揭示他们他们博得了假奖,而后依据他们的地理位置和他们的语言将他们重定向到网站页面。而后要求移动用户提交他们的电话号码以进行验证。如果他们提交这些信息,他们就会“在他们不知情和批准的状况下”订阅高级服务。

其中一些费用高达每月 30 欧元(35 美元)以上,如果受害者没有留神到这一可疑交易,那么实践上,他们可能会间断数月被收取费用,而发出现金的心愿很小。

新闻来源:

https://www.zdnet.com/article…

2.Tomiris 后门发现与 Sunshuttle、DarkHalo 黑客无关

钻研人员发现了 Tomiris 和 SolarWinds 破绽 DarkHalo 背地的 APT 之间的新分割。

钻研人员示意,一项新流动揭示了 DarkHalo 的 Sunshuttle 之间的相似之处,以及与 Kazuar 的“指标重叠”。

该 SolarWinds 的事件产生在 2020 年 FireEye 的和微软走漏突破口,成千上万的客户受到了歹意更新,但威逼行为者仿佛精心筛选了值得进一步攻打的指标——包含 Microsoft、FireEye 和政府机构。

微软总裁布拉德·史密斯称此次事件为“世界上有史以来规模最大、最简单的攻打”。

锋芒指向高级持久性威逼 (APT) 组织 DarkHalo/Nobelium 作为责任方,他们设法部署了 Sunburst/Solorigate 后门、Sunspot 构建服务器监控软件和 Teardrop/Raindrop 滴管,旨在部署 Cobalt 打击信标,在指标零碎上。这个组织的流动被追踪为 UNC2452,它也与 Sunshuttle/GoldMax 后门无关。

新闻来源:
https://www.zdnet.com/article…

3. 比特币网站被劫持,用户被骗 17,000 美元

黑客管制了原始的比特币网站,并以某种形式对其进行了批改以进行欺骗。黑客设法从用户那里收集了 17,000 美元。

可悲的是,整个骗局在网站上直播的整个过程都设法坑骗了用户。据报道,一些加密货币所有者最终领取了他们的比特币,从而陷入了骗局。攻击者的交易历史列出了来自不同比特币地址的多笔贷款。该帐户的总余额为 17,000 美元。

“比特币基金会正在回馈社区!咱们心愿反对多年来帮忙过咱们的用户,”比特币网站上的欺骗信息说。“将比特币发送到这个地址,咱们将发送双倍的回报!”该音讯的其余部分说。此外,该音讯还示意,此优惠仅限前 10,000 名用户。

新闻来源:
https://tech.hindustantimes.c…

4. 勒索软件正在引领医院董事会向网络安全投入更多资金

一段时间以来,勒索软件始终困扰着医疗保健提供者组织。COVID-19 的暴发也带来了更多的攻打。

Steve Smerz 是 Halo Health 的首席信息安全官,Halo Health 是一个临床合作平台的供应商,该平台包含平安音讯、视频、语音、警报和警报,旨在使临床医生可能轻松连贯。

他说,随着勒索软件在 2021 年下半年持续攻打医疗保健组织,他看到医院和卫生系统委员会正在致力减少网络安全团队的资源。

医院是勒索软件威逼行为者的完满指标。他们领有大量能够加密并影响医院经营能力的数据,银行中有用于领取赎金的资金,以及一个不像其余行业有精通技术的董事会。Smerz 认为,零碎和医院最大的破绽之一在于员工外部——因为大多数胜利的勒索软件攻打都是从人开始的。因而,教育和培训员工,接触社会工程和网络钓鱼的办法,是企业进行的爱护打算的重点。

新闻来源:
https://www.healthcareitnews….

5.ContiRansomware 扩大了捣毁备份的能力

Conti 勒索软件团伙开发了新的策略来拆除备份,尤其是 Veeam 复原软件。

这是依据网络危险预防公司 Advanced Intelligence 周三公布的一份报告得出的,该报告具体介绍了 Conti 如何将其备份毁坏磨难成一门艺术——更好地找到、粉碎和删除备份数据。毕竟,备份是激励勒索软件领取的次要阻碍。

钻研人员写道:“如果受害者有能力通过备份复原文件,那么胜利向 Conti 领取赎金的可能性就会降到最低,即便数据公布的危险依然存在。”

Conti 操作员会查找并模仿特权备份用户,以便为本人授予 Veeam 备份权限。攻击者通常应用武器化的 Rclone(用于治理云存储上的文件的命令行程序)来窃取 Veeam 备份的数据。最初,为了确保受害者曾经膝盖受伤并且无奈复原,Conti 攻击者会锁定受害者的零碎并手动删除 Veeam 备份。

新闻来源:
https://threatpost.com/conti-…

6. 微软正告最新的恶意软件攻打,解释如何防止机密后门

微软最近发现了另一种被微软命名为 FoggyWeb 的恶意软件,黑客目前正在应用这种恶意软件近程窃取网络管理员凭据。这些凭据容许攻击者组织(该公司名为 Nobelium)侵入 ActiveDirectory 联结服务 (ADFS) 服务器的管理员帐户并管制用户对各种资源的拜访。这与去年 12 月披露的 SolarWinds 软件供应链攻打的幕后黑手是同一组织。

微软威逼情报中心的 Ramin Nafisi 说:“Nobelium 应用 FoggyWeb 近程浸透受感化 ADFS 服务器的配置数据库、解密的令牌签名证书和令牌解密证书,以及下载和执行其余组件”。

“FoggyWeb 是一种被动且针对性很强的后门,可能从受感化的 ADFS 服务器中近程窃取敏感信息。它还能够从命令和管制 (C2) 服务器接管其余歹意组件,并在受感化的服务器上执行它们,”微软补充道。

新闻来源:
https://www.digitaltrends.com…

7. 新的 FinSpy 恶意软件变种应用 UEFI Bootkit 感化 Windows 零碎

商业开发的 FinFisher 监控软件已降级为应用 UEFI(对立可扩大固件接口)疏导包感化 Windows 设施,该疏导包利用木马化的 Windows 疏导管理器,标记着感化媒介的转变,使其可能回避发现和剖析。

FinFisher(又名 FinSpy 或 Wingbird)自 2011 年就在野外被发现,是一种实用于 Windows、macOS 和 Linux 的特务软件工具集,由英德公司 GammaInternational 开发,专门提供给执法和情报机构。但与 NSOGroup 的 Pegasus 一样,该软件过来也曾被用来监督巴林活动家,并于 2017 年 9 月作为鱼叉式网络钓鱼流动的一部分。

FinFisher 可能收集用户凭据、文件列表、敏感文档、记录击键、从 Thunderbird、Outlook、AppleMail 和 Icedove 中提取电子邮件音讯,拦挡 Skype 联系人、聊天、通话和传输的文件,并通过获取拜访权限捕捉音频和视频到机器的麦克风和网络摄像头。

“感化这种形式容许攻击者装置的 bootkit 无需绕过固件安全检查,”卡巴斯基寰球钻研和剖析团队(大)说,在技术深潜以下八个月之久的考察。“UEFI 感化十分常见,而且通常难以执行,它们因其隐蔽性和持久性而引人注目。”

新闻来源:
https://thehackernews.com/202…

8.AirTag 的“失落模式”存在破绽,可能被用于骗取账号密码

AirTag 是苹果公司制作的物品防丢追踪器,在失落之后,用户能够将其设置为“失落模式”,此时他人捡到,能够用任何带有 NFC 性能的手机扫描,之后弹出网页显示原客人设置的分割信息。

但这条失落信息是网页版本,它会为 https://found.apple.com 生成一个 URL。任何扫描 AirTag 的人都会主动跳转到带有所有者分割信息的 URL,无需登录或个人信息就能够查看这个页面。

Krebsonsecurity 称,“失落模式”并不能阻止有人向电话号码字段中注入代码,因而,扫描 AirTag 的人可能会被重定向到混充的 iCloud 页面,或其余歹意网站。被诱骗登陆窃取其账号,甚至重定向某个试图下载恶意软件的链接。

AirTag 的这个破绽是由平安参谋 Bobby Raunch 发现的,他通知 KrebsOnSecurity,这个破绽可能让 AirTag 变得很危险。他认为这样低成本的小型生产产品,可能被不法分子当作攻打的工具。

新闻来源:
https://krebsonsecurity.com/2…

正文完
 0