蓝队取证审计网络安全

网络安全专家发现了一种名为“XFiles Stealer”的新型恶意软件，该恶意软件瞄准 Windows 用户窃取密码和其他敏感信息。 网络安全研究机构 MonThreat 通过其 X 官方频道公布了这一发现。 XFiles Stealer 新版本发布 XFiles Stealer 以 C 编程语言编写，已在暗网论坛上发布，并附带更新。Xfiles 可在 Windows 7 至 Windows 11 的机器上运行。它收集浏览器数据、cookie、密码、自动填充、信用卡等…… 根据分析，这种复杂的恶意软件对个人用户和企业组织都构成威胁。 X-Files Stealer 旨在通过各种媒介渗透 Windows 系统，包括网络钓鱼电子邮件、恶意下载和受感染的网站。 一旦安装，恶意软件就会秘密运行，逃避传统防病毒软件的检测。 它主要用于提取存储在网络浏览器、电子邮件客户端和其他应用程序中的密码。 被盗数据随后被传输到网络犯罪分子控制的远程服务器，网络犯罪分子可以利用这些数据进行身份盗窃、金融欺诈和其他恶意活动。 MonThreat 的分析表明，XFiles Stealer 采用了代码混淆和加密等先进技术来逃避检测。 鉴于 XFiles Stealer 的复杂性，网络安全专家建议应采取多种措施来防范此类威胁和类似的威胁。 ·首先，用户应确保其操作系统和软件已安装最新的安全补丁。 ·此外，采用具有实时保护功能的强大防病毒解决方案可以帮助检测并阻止恶意软件造成危害。 ·最后，建议用户在打开来自未知发件人的电子邮件或从不受信任的来源下载文件时要小心谨慎。 …

Authy 是一款移动应用程序，可在启用 MFA 的网站上生成多因素身份验证码。 6 月底，一个名为 ShinyHunters 的威胁分子泄露了一个 CSV 文本文件，其中包含他们声称的在 Authy 服务上注册的 3300 万个电话号码。 Twilio 已确认，不安全的 API 端点允许威胁分子验证数百万 Authy 多因素身份验证用户的电话号码，而这使他们很容易就受到短信网络钓鱼和 SIM 卡交换攻击。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据 该 CSV 文件包含 33,420,546 行，每行包含一个帐户 ID、电话号码、一个“over_the_top”列、帐户状态和设备数量。 Twilio 现已证实，威胁分子使用未经身份验证的 API 端点编制了电话号码列表。Twilio 检测到威胁分子能够通过未经身份验证的端点识别，与 Authy 帐户相关的数据，包括电话号码。目前，Twilio 已采取措施保护此端点，不再允许未经身份验证的请求。 Twilio 接受媒体采访时表示“没有看到任何证据表明威胁分子获得了 Twilio 系统或其他敏感数据的访问权限。作为预防措施，我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获取最新的安全更新，并鼓励所有 Authy 用户保持警惕并提高对网络钓鱼和短信钓鱼攻击的认识。” 早在2022 年，Twilio 就披露其在 6 月和 8 月遭受了入侵，威胁分子得以入侵其基础设施并访问 Authy 客户信息。 滥用不安全的 API 据获…

7月19日,微软在全球多地出现“蓝屏故障”,大量用户无法正常操作系统,其中不少出现了“csagent.sys”错误。其原因是美国网络安全服务提供商CrowdStrike更新错误所致。该事件影响到了世界各地的各种组织和服务，包括机场、电视台和医院等大型企业。 事发当天，大量用户反馈在安装 CrowdStrike Falcon Sensor 的最新更新后，Windows 主机陷入启动循环或显示蓝屏死机 (BSOD)。 该安全供应商承认了该问题，并发布了技术警报，解释称其工程师“发现了与此问题相关的内容部署并撤销了这些更改”。 CrowdStrike 的工程团队迅速应对了这一危机。根据该公司论坛上的一个置顶帖，该团队已确定与该问题相关的内容部署并恢复了这些更改。 CrowdStrike透露，罪魁祸首是一个通道文件，其中包含传感器的数据。由于它只是传感器更新的一个组件，因此可以单独解决此类文件，而无需删除 Falcon 传感器更新。 对于已经受到影响的用户，CrowdStrike 提供了以下解决方法： 1、将 Windows 启动到安全模式或 Windows 恢复环境 （1）重启你的电脑。 （2）当您的计算机重新启动时，按F8（或Shift + F8）打开高级启动选项菜单。 （3）选择Safe Mode并按 Enter。 2、删除相关文件 （1）导航到 C:\Windows\System32\drivers\CrowdStrike 目录。 （2）找到匹配“C-00000291*.sys”的文件，并将其删除。 3、重启电脑。 CrowdStrik…

流行的开源项目“ip”的 GitHub 存储库最近被其开发人员存档或设为“只读”，由于 Fedor Indutny 的项目收到了 CVE 报告，因此网上有人开始向他报告这个漏洞。 不幸的是，Indutny 的案例并非孤例。近年来，开源开发者收到的有争议的 CVE 报告数量不断增加，有些甚至是未经确认的伪造 CVE 报告。 这可能会导致这些项目的用户产生不必要的恐慌，并且安全扫描程序会生成警报，而所有这些都会成为开发人员的头痛之源。 “node-ip” GitHub 存储库已存档 本月初，“node-ip”项目的作者 Fedor Indutny 将该项目的 GitHub 存储库存档，实际上使其成为只读的，并限制了人们打开新问题（讨论）、拉取请求或向项目提交评论的能力。 node-ip GitHub repo 已存档并设为“只读” “node-ip”项目作为“ip”包存在于 npmjs.com 注册表中，每周下载量达 1700 万次，是 JavaScript 开发人员使用的最受欢迎的 IP 地址解析实用程序之一。 6 月底，Indutny 在社交媒体上表达了存档“node-ip”背后的理由与 CVE-2023-42282 有关，这是该项目今年早些时候披露的一个漏洞。 使用其他开放项目（例如应用程序中的 npm 包和依赖项）的 Node.js 开发人员可以运行“npm audit”命令来检查其应用程序所使用的这些项目中是否有针对它们的漏洞报告。 Bothered dev 的开发人员在社交媒体上表达了他的担忧 该 CVE 与实用程序无法正…

上周五，CrowdStrike 发布了一项错误更新，导致全球数百万台 Windows 设备突然崩溃，出现蓝屏死机 (BSOD) 并进入重启循环。 这次故障导致大规模 IT 中断，公司突然发现所有 Windows 设备都无法使用。这些 IT 中断影响了世界各地的机场、医院、银行、公司和政府机构。 为了解决此问题，管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境，并从 C:\Windows\System32\drivers\CrowdStrike 文件夹中手动删除有问题的内核驱动程序。但是，由于面临数百甚至数千台受影响的 Windows 设备，因此手动执行这些修复可能会很麻烦、耗时且困难。 为了帮助 IT 管理员和支持人员，微软发布了一款自定义恢复工具，可以自动从 Windows 设备中删除有缺陷的 CrowdStrike 更新，以便它们可以再次正常启动。“作为对影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续行动，我们发布了一款 USB 工具来帮助 IT 管理员加快修复过程，”微软支持公告中写道。 用户可以在 Microsoft 下载中心找到签名的 Microsoft 恢复工具：https://go.microsoft.com/fwlink/?linkid=2280386。” 要使用 Microsoft 的恢复工具，IT 人员需要一个具有至少 8 GB 空间的 Windows 64 位客户端、此设备的管理权限、一个至少具有 1 GB 存储空间的 USB 驱动器以及 Bitl…

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，…

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

威胁者利用 CrowdStrike 故障更新造成大规模业务中断，利用数据擦除器和远程访问工具攻击公司。随着越来越多企业寻求帮助，要求修复受影响的 Windows 主机，研究人员和政府机构发现试图利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道沟通 CrowdStrike 在最新的更新中表示，它“正在积极协助受到近期内容更新影响的客户”，该更新导致全球数百万台 Windows 主机崩溃。 该公司建议客户通过官方渠道验证他们是否与合法代表进行沟通，因为“对手和不良行为者会试图利用此类事件”。 英国国家网络安全中心 (NCSC) 警告称，他们发现旨在利用此次中断的网络钓鱼邮件数量有所增加。自动恶意软件分析平台 AnyRun 也注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼”。 伪装成修复程序和更新的恶意软件 网络安全研究员 g0njxa 首次报告了针对 BBVA 银行客户的恶意软件活动，该活动提供了安装 Remcos RAT 的虚假 CrowdStrike Hotfix 更新。 该虚假修补程序通过钓鱼网站 portalintranetgrupobbva[.]com 进行推广，该网站伪装成 BBVA 内部网门户。恶意存档中附有说明，告知员工和合作伙伴安装更新，以避免在连接到公司内部网络时出现错误。 “强制更新以避免公司内部网络的连接和同步错误”，西班牙语的“instrucciones.txt”文件写道。AnyRun 也在社交媒体上发布了有关同一活动的推文，他表示，假冒的热修复程序会提供 HijackLoader，然后…

WhatsApp for Windows 最新版本中存在一个安全问题，允许发送 Python 和 PHP 附件，当收件人打开这些附件时，这些附件会在没有任何警告的情况下执行。要成功攻击，需要安装 Python，这一先决条件可能会将目标限制在软件开发人员、研究人员和高级用户。 该问题与 4 月份影响 Windows 版 Telegram 的问题类似，该问题最初被拒绝但后来得到修复，攻击者可以在通过消息传递客户端发送 Python .pyzw 文件时绕过安全警告并执行远程代码执行。 WhatsApp 屏蔽了多种被认为对用户有风险的文件类型，但该公司不打算将 Python 脚本添加到列表中且PHP 文件 (.php) 也不包含在 WhatsApp 的阻止列表中。 Python、PHP 脚本未被阻止 安全研究员 Saumyajeet Das 在试验可以附加到 WhatsApp 对话中的文件类型时发现了此漏洞，以查看该应用程序是否允许任何有风险的文件。当发送潜在危险的文件（例如 .EXE）时，WhatsApp 会显示该文件并为收件人提供两个选项：打开或另存为。 WhatsApp 的可执行文件选项 但是，当尝试打开文件时，WhatsApp for Windows 会生成错误，用户只能选择将文件保存到磁盘并从那里启动它。在测试中，使用 WhatsApp for Windows 客户端时，此行为与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型一致。Das 发现 WhatsApp 还会阻止 .DLL、.HTA 和 VBS 的执行。 对于…

Bitdefender 于 2020 年首次记录了 Android 间谍软件“Mandrake”，研究人员强调了该恶意软件复杂的间谍功能，并指出它至少从 2016 年开始就在野外运行。 卡巴斯基最近报告称，具有更好的混淆和规避功能的 Mandrake 新变种已经通过 2022 年提交给 Google Play 的五个应用程序潜入进来。 这些应用程序至少持续可用一年，而最后一个应用程序 AirFS（在受欢迎程度和感染率方面较为突出）于 2024 年 3 月底被删除。 Google Play 上的 AirFS 卡巴斯基确定了五款携带 Mandrake 的应用程序如下： · AirFS – it9042 通过 Wi-Fi 共享文件（2022 年 4 月 28 日至 2024 年 3 月 15 日期间下载量为 30,305 次） · Astro Explorer 来自 shevabad（2022 年 5 月 30 日至 2023 年 6 月 6 日期间下载量为 718 次） · Amber 来自 kodaslda （2022 年 2 月 27 日至 2023 年 8 月 19 日期间下载量为 19 次） · CryptoPulsing 来自 shevabad（2022 年 11 月 2 日至 2023 年 6 月 6 日期间下载量为 790 次） ·Brain Matrix 来自 kodaslda（2022 年 4 月 27 日至 2023 年 6 月 6 日期间下载量为 259 次） 该网络安全公司表示，大多数下载来自加拿大、德国、意大利、…

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。 该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。 Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。 2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。 Hunters International 是一个在 2023 年底开始活跃的勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。 到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。 SharpRhino RAT SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。 存档内容 安装程序会修改 Windows 注册表以实现持久…

新员工入职对任何企业来说都是一个重要的时刻——毕竟，这是让新团队成员融入公司及其文化的机会。但是，入职时间框架也会带来一系列独特的安全风险，因为企业要与新加入企业的人分享敏感信息。 本文探讨了为什么入职流程和新员工对网络犯罪分子来说具有吸引力，确定入职期间风险最高的领域，并了解减轻这些风险的最佳做法。 为什么新员工是黑客的理想目标 新员工加入公司后，会面临完全陌生的环境，对公司流程、沟通方式或安全协议知之甚少甚至一无所知。这种知识的缺乏使他们成为社会工程攻击的主要目标。 一般来说，黑客会冒充公司内的同事或权威人物，从而专注于诱骗新加入者泄露敏感信息或授予其安全系统的访问权限。 此外，新员工往往非常渴望给同事留下良好、积极的印象。他们希望自己看起来积极参与、积极响应、乐于合作，这种热情可能会导致他们在没有彻底验证其合法性的情况下快速点击链接或附件。 黑客利用这种热情，精心策划有针对性的网络钓鱼活动，这些活动更有可能在新员工身上取得成功。 黑客如何识别新员工？可以通过 LinkedIn 或其他专业社交平台了解同事或前任老板是否有新工作，方法是一样的。黑客通过 LinkedIn 识别新员工及其在组织内的新职位，然后利用这些信息创建高度个性化的网络钓鱼电子邮件或社交工程尝试，这些尝试最有可能欺骗新员工。 入职过程中哪些地方会产生风险 入职过程中存在许多风险。最大的风险之一是共享敏感信息，尤其是密码。许多企业仍然依赖不安全的方法与新员工共享密码，包括通过纯文本短信或电子邮件发送密码。这些方法容易受到中间人攻击，黑客会拦截通信并获取密码。 一些公司试…

近期，安全研究人员发现威胁者开始使用渐进式 Web 应用程序冒充银行应用程序并窃取 Android 和 iOS 用户的凭据。 渐进式 Web 应用程序 (PWA) 是跨平台应用程序，可以直接从浏览器安装，并通过推送通知、访问设备硬件和后台数据同步等功能提供类似原生的体验。 在网络钓鱼活动中使用此类应用程序可以逃避检测，绕过应用程序安装限制，并获得设备上危险权限的访问权限，而无需向用户提供可能引起怀疑的标准提示。 该技术于 2023 年 7 月在波兰首次被发现，而同年 11 月发起的后续活动则针对捷克用户。 网络安全公司 ESET 报告称，它目前正在追踪两个依赖这种技术的不同活动，一个针对匈牙利金融机构 OTP Bank，另一个针对格鲁吉亚的 TBC Bank。 然而，这两起攻击活动似乎是由不同的威胁分子发起的。其中一个组织使用不同的命令和控制 (C2) 基础设施来接收被盗凭证，而另一个组织则通过 Telegram 记录被盗数据。 感染链 ESET 表示，这些活动依靠多种方法来接触目标受众，包括自动呼叫、短信（短信网络钓鱼）以及 Facebook 广告活动中精心制作的恶意广告。 在前两种情况下，网络犯罪分子会用虚假消息诱骗用户，称他们的银行应用程序已过时，出于安全原因需要安装最新版本，并提供下载钓鱼 PWA 的 URL。 PWA 活动感染流程 在社交媒体上发布恶意广告的情况下，威胁分子使用冒充的银行官方吉祥物来诱导合法感，并宣传限时优惠，例如安装所谓关键应用更新即可获得金钱奖励。 网络钓鱼活动中使用的恶意广告之一 根据设备（通过 Us…

9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。 贯彻落实《全球人工智能治理倡议》，网安标委研究制定了《人工智能安全治理框架》（以下简称《框架》）。 《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。 网安标委秘书处主要负责人表示，《框架》1.0版的发布，对推动社会各方积极参与、协同推进人工智能安全治理具有重要促进作用，为培育安全、可靠、公平、透明的人工智能技术研发和应用生态，促进人工智能的健康发展和规范应用，提供了基础性、框架性技术指南。同时，也有助于在全球范围推动人工智能安全治理国际合作，推动形成具有广泛共识的全球人工智能治理体系，确保人工智能技术造福于人类。 点击阅读原文即可查看《人工智能安全治理框架》 文章来源：网信中国

一种名为“PIXHELL”的新型声学攻击可以通过连接到的 LCD 显示器，无需扬声器而泄露物理隔离和音频隔离系统中的机密。 在 PIXHELL 攻击中，恶意软件会调制 LCD 屏幕上的像素模式，以在 0-22 kHz 的频率范围内产生噪声，并在这些声波中携带编码信号，这些信号可以被附近的设备（例如智能手机）捕获。 PIXHELL 攻击设置 研究人员的测试表明，数据泄露的最大距离为 2 米，数据速率达到 20 比特每秒。 虽然这对于实现大文件传输来说太慢，但实时键盘记录和窃取可能包含密码或其他信息的小文本文件仍然是可能的。 隐蔽音频通道 PIXHELL 由 Mordechai Guri 博士开发，他因对从隔离环境中泄露数据的方法进行广泛研究而闻名。就在上周，这位研究人员发表了另一篇关于一种新型侧信道攻击的论文，这种攻击被称为“RAMBO”，用于攻击的隔离内存总线辐射，它可以通过从设备的 RAM 组件产生电子辐射来窃取隔离环境中的数据。 PIXHELL 攻击方法利用了 LCD 屏幕因线圈噪音、电容器噪声或设备无法物理消除的固有振动而产生的意外声发射。 使用特制的恶意软件，攻击者可以使用以下调制方案将加密密钥或击键等敏感数据编码为声音信号： ·开关键控 (OOK)：通过打开和关闭声音对数据进行编码。 ·频移键控 (FSK)：通过在不同频率之间切换对数据进行编码。 ·幅移键控 (ASK)：通过改变声音的幅度（音量）对数据进行编码。 调制不同频率的声音信号 接下来，通过改变液晶屏上的像素图案，调制后的数据会通过液晶屏传输，从而改变设备组件…

Android 开源项目 (AOSP) 是由 Google 领导的开源操作系统，可用于移动、流媒体和物联网设备。日前，安全研究人员发现威胁者已经用一种新的 Vo1d 后门恶意软件感染了超过 130 万个运行 Android 的电视流媒体盒，从而使攻击者能够完全控制这些设备。 Dr.Web 在一份新报告中表示，研究人员发现，超过 200 个国家/地区有 130 万台设备感染了 Vo1d 恶意软件，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。 受 Vo1d 感染的电视盒的地理分布 此次恶意软件活动所针对的 Android 固件包括： ·Android 7.1.2； ·R4 构建/NHG47K Android 12.1； ·电视盒构建/NHG47K Android 10.1； ·KJ-SMART4KVIP 构建/NHG47K。 根据安装的 Vo1d 恶意软件的版本，该活动将修改 install-recovery.sh、daemonsu，或替换 debuggerd 操作系统文件，这些都是 Android 中常见的启动脚本。 修改 install-recovery.sh 文件 恶意软件活动使用这些脚本来保持持久性并在启动时启动 Vo1d 恶意软件。 Vo1d 恶意软件本身位于 wd 和 vo1d 文件中，该恶意软件以这两个文件命名。Android.Vo1d 的主要功能隐藏在其 vo1d（Android.Vo1d.1）和 wd（Android.Vo1d.3）组件中…

Fortinet 是全球最大的网络安全公司之一，销售防火墙、路由器和 VPN 设备等安全网络产品。该公司还提供 SIEM、网络管理和 EDR/XDR 解决方案以及咨询服务。本周，一名威胁者在黑客论坛上发帖称，他们从 Fortinet 的 Azure Sharepoint 实例中窃取了 440GB 的数据。随后，该威胁者将凭证共享到一个所谓的 S3 存储桶中，被盗数据就存储在该存储桶中，供其他威胁者下载。 随后，网络安全巨头 Fortinet 证实，其公司遭遇数据泄露。 被称为“Fortibitch”的威胁者声称曾试图勒索 Fortinet 支付赎金阻止数据发布，但该公司拒绝支付。在回答关于事件的问题时，Fortinet 证实客户数据是从“第三方基于云的共享文件驱动器”中窃取的。 该公司表示：“有人未经授权访问了 Fortinet 存储在第三方云共享文件驱动器上的有限数量文件，其中包括与少数 Fortinet 客户相关的有限数据。” 目前，Fortinet 并未透露有多少客户受到影响或哪些数据遭到泄露，但表示已根据需要直接与客户沟通。Fortinet 网站随后发布的更新消息称，该事件影响了不到 0.3％ 的客户群，并且并未导致任何针对客户的恶意活动。 该网络安全公司还证实，该事件不涉及任何数据加密、勒索软件或对 Fortinet 公司网络的访问。有媒体联系 Fortinet 询问有关此次入侵的其他问题，但目前尚未收到回复。 据悉，早在 2023 年 5 月，就有威胁分子声称入侵了 Panopta 公司的 GitHub 存储库，该公司于 2…

超过 1,000 个配置错误的 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。暴露的信息包括个人身份信息 、内部系统详细信息、用户凭据、实时生产系统的访问令牌以及取决于知识库主题的其他重要信息。 尽管 ServiceNow 在 2023 年的更新明确旨在改进访问控制列表 (ACL)，但这仍然是一个重大问题。 公开的知识库文章 ServiceNow 是一个基于云的软件平台，企业使用它来管理跨不同部门和流程的数字工作流。它是一个完整的解决方案，包含 IT 服务和 IT 运营管理、人力资源任务、客户服务管理、安全工具集成和知识库。 知识库功能充当文章存储库，用户可以在其中共享操作指南、常见问题解答和其他内部程序，供有权查看这些内容的用户使用。但是，由于许多此类文章并非公开发布，因此它们可能包含有关组织的敏感信息。 在 2023 年发布有关 ServiceNow 数据泄露的报告后，该公司推出了一项安全更新，引入了新的 ACL，以防止未经身份验证访问客户数据。然而，AppOmni 表示，大多数 ServiceNow 知识库使用的是用户标准权限系统而不是 ACL，这使得更新的用处不大。 此外，一些面向公众的、暴露客户信息的小部件没有收到 2023 ACL 更新，并继续允许未经身份验证的访问。因此，Costello 表示，面向公众的 ServiceNow 小部件上配置错误的访问控制仍可用于查询知识库中的数据，而无需任何身份验证。 AppOmni 在发布的新报告中表示：“受影响的企业认为这些实例…

近日，蚂蚁安全正式对外开放新一代软件供应链安全技术——源蜥，2024年源蜥将开放200名免邀请试用名额（https://cybersec.antgroup.com/），推动行业软件供应链安全技术升级。 与传统软件组成成份分析技术（Software Composition Analysis，SCA）相比，源蜥“新”在哪里？能解决用户的哪些痛点？ 1、传统SCA用户面临的问题 传统SCA的用户，经常会遇到SCA扫描动辄报出数万个漏洞，即使只关注高危以上的漏洞，也有数千个。面对这数以千计的高危漏洞： 一方面，漏洞修复的成本很高，全部修复会严重拖累业务的快速发展，在企业内部难以落地； 另一方面，如果不修复这些漏洞，对企业有严重安全威胁的漏洞也会淹没在其中，使企业面临着较大的安全风险。 2、原因分析 传统SCA检测漏洞主要包括三个环节，如图1所示： （1）对应用程序做软件物料清单(Software Bill of Materials，简称SBOM）分析得到依赖的组件清单 （2）采集和分析得到漏洞情报 （3）通过组件清单关联漏洞情报得到漏洞 图1 传统SCA漏洞检测原理 传统SCA之所以会动辄报出数万个漏洞，主要原因有两点： （1）传统SCA做SBOM分析的粒度都是组件级，只要应用程序依赖了含漏洞的组件，不管应用程序是否调用了漏洞的触发点，都会被认为存在漏洞，导致了大量的误报 （2）业界公开的漏洞情报非常多，传统SCA只关注了漏洞自身的危害等级，而没关注漏洞实际在业界被利用的风险，从而将大量不存在利用风险的漏洞也推给用户去修复。 例如，仅2023…

往期回顾： 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾 2024.8.5—2024.8.11安全动态周回顾 2024.7.29—2024.8.4安全动态周回顾

BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。 Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一个命令行工具，可以促进与 Azure 存储之间的大规模数据传输。在网络安全公司 modePUSH 观察到的攻击中，被盗数据随后被存储在云中的 Azure Blob 容器中，威胁分子随后可以将其传输到他们自己的存储中。 Azure 存储资源管理器界面 然而，研究人员指出，攻击者必须进行额外操作才能使 Azure 存储资源管理器正常工作，包括安装依赖项和将 .NET 升级到版本 8。此举也表明勒索软件操作越来越关注数据盗窃，这是威胁分子在随后的勒索阶段的主要手段。 为什么选择 Azure 虽然每个勒索软件团伙都有自己的一套泄露工具，但勒索软件团伙通常使用 Rclone 与各种云提供商同步文件，并使用 MEGAsync 与 MEGA 云同步。 Azure 是企业经常使用的受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。因此，通过它进行的数据传输尝试更有可能顺利通过且不被发现。 此外，Azure 的可扩展性和性能使其能够处理大量非结构化数据，当攻击者试图在最短的时间内窃取大量文件时，这一点非常有益。 modePUSH 表示，它观察到勒索软件参与者使用多个 Azure 存储资源管理器实例将文件上传到 blob 容器，从而尽可…

Mallox 勒索软件行动的附属机构（也称为 TargetCompany）被发现使用稍微修改过的 Kryptina 勒索软件版本攻击 Linux 系统。 SentinelLabs 表示，此版本与其他针对 Linux 的 Mallox 变体不同，例如 Trend Micro 研究人员去年 6 月描述的变体，这突显了勒索软件生态系统的策略转变。此外，这再次表明，之前只针对 Windows 的恶意软件 Mallox 正在将 Linux 和 VMWare ESXi 系统纳入其攻击范围，标志着该行动的重大演变。 从 Kryptina 到 Mallox Kryptina 于 2023 年底作为针对 Linux 系统的低成本（500-800 美元）勒索软件即服务 (RaaS) 平台推出，但未能在网络犯罪社区引起关注。 2024 年 2 月，其所谓的管理员使用别名“Corlys”在黑客论坛上免费泄露了 Kryptina 的源代码，据推测这些源代码被有意获得可运行的 Linux 变体的随机勒索软件参与者获取。 威胁者泄露源代码 在 Mallox 的一家附属公司遭遇操作失误并暴露其工具后，SentinelLabs 发现 Kryptina 已被该项目采用，其源代码被用于构建重新命名的 Mallox 有效载荷。 暴露服务器上的 Kryptina 源代码 重新命名的加密器名为“Mallox Linux 1.0”，使用 Kryptina 的核心源代码、相同的 AES-256-CBC 加密机制和解密例程，以及相同的命令行构建器和配置参数。 这表明 Mallox…

据悉，针对 Twilio 和 Cloudflare 员工的攻击与大规模网络钓鱼活动有关，该活动导致 130 多个组织的 9,931 个帐户遭到入侵。 研究人员表示，这些活动与针对身份和访问管理公司 Okta 的攻击有关，该公司为威胁者取了 0ktapus 的绰号。 Group-IB 研究人员在最近的一份报告中写道：“威胁者的主要目标是从目标组织的用户那里获取 Okta 身份凭证和多因素身份验证 (MFA) 代码。”这些用户收到的短信包含模仿其组织的 Okta 身份验证页面的钓鱼网站链接。 受影响的有 114 家美国公司，另有其他 68 个国家也受到了影响。Group-IB 高级威胁情报分析师表示，攻击范围仍不得而知。 0ktapus 黑客想要什么 根据 Group-IB 分析的受损数据分析，0ktapus 攻击者的攻击目标是电信公司。虽然不确定威胁者如何获得用于 MFA 相关攻击的电话号码列表，但研究人员认为，0ktapus 攻击者的攻击目标大概率是电信公司。 接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的 Okta 身份验证页面的网页。然后，受害者被要求提交 Okta 身份凭证以及员工用于保护其登录信息的多因素身份验证 (MFA) 代码。 在附带的技术博客中，Group-IB 的研究人员解释说，最初主要针对软件即服务公司的攻击只是多管齐下的攻击的第一阶段。0ktapus 的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。 在 Group-IB 发布报告的几个小时内，DoorDash 公司透露，…

从上月开始，俄罗斯网络安全公司卡巴斯基从美国各地客户的计算机中删除了其反恶意软件，并自动用 UltraAV 的防病毒解决方案取而代之。 此前，卡巴斯基决定关闭其美国业务并裁掉美国员工，以回应美国政府于 6 月将卡巴斯基列入实体名单，该名单列出了“被视为国家安全问题的外国个人、公司和组织”。6 月 20 日，拜登政府还宣布，由于存在潜在的国家安全风险，将从 2024 年 9 月 29 日起禁止在美国销售和更新卡巴斯基杀毒软件。 7 月，卡巴斯基表示，由于销售和分销禁令，该公司将于 7 月 20 日开始关闭业务并裁员。9 月初，卡巴斯基还向客户发送电子邮件，保证在卡巴斯基停止向美国客户销售软件和更新后，他们将继续从 UltraAV（Pango Group 旗下）获得“可靠的网络安全保护”。 然而，这些电子邮件没有告知用户，卡巴斯基的产品将突然从他们的计算机中删除，并由 UltraAV 替换，且不会发出任何提示。 卡巴斯基关于 UltraAV 过渡的电子邮件 UltraAV 被强制安装在卡巴斯基用户的电脑上 许多在线客户表示，UltraAV 的软件在未经任何事先通知的情况下就安装在他们的计算机上，因此许多人担心他们的设备已感染恶意软件。 虽然有些用户可以使用该软件的卸载程序卸载 UltraAV，但那些尝试使用卸载应用程序删除它的用户发现它会在重启后重新安装，这进一步引发了用户对潜在恶意软件感染的担忧。有些人还发现安装了 UltraVPN，可能是因为他们订阅了卡巴斯基 VPN。 除了隶属于 Pango Group之外，人们对 UltraAV …