蓝队取证审计网络安全

MITRE 分享了今年最常见和最危险的 25 个软件弱点列表，其中包含 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。 软件弱点是指在软件代码、架构、实现、或设计时，攻击者可以利用它们来破坏运行易受攻击软件的系统，从而获得对受影响设备的控制权并访问敏感数据或触发拒绝服务攻击。 MITRE 表示：“这些漏洞通常很容易发现和利用，但可能会导致可利用的漏洞，使对手能够完全接管系统、窃取数据或阻止应用程序运行。” 揭示这些漏洞的根本原因可以为投资、政策和实践提供强有力的指导，以从一开始就防止这些漏洞的发生，从而使行业和政府利益相关者受益。 为了创建今年的排名，MITRE 在分析了 31,770 个 CVE 记录中的漏洞后，根据其严重性和频率对每个漏洞进行了评分，这些漏洞“将受益于重新映射分析”并在 2023 年和 2024 年报告，重点关注添加到 CISA 已知漏洞的安全漏洞被利用的 KEV 目录。 这份年度清单确定了攻击者经常利用的最关键的软件漏洞来危害系统、窃取敏感数据或破坏基本服务， CISA 强烈鼓励企业审查此列表并使用它来告知其软件安全策略。优先考虑开发和采购流程中的这些弱点有助于防止软件生命周期核心的漏洞。 CISA 还定期发布“设计安全”提醒，重点显示广为人知且已记录的漏洞，尽管有可用且有效的缓解措施，但这些漏洞尚未从软件中消除，其中一些是为了应对持续的恶意活动而发布的。 5 月和 3 月，网络安全机构又发布了两个“设计安全”提醒，敦促技术高管和软件开发人员防止其产品和代码中的路径遍历和 SQ…

一名威胁者声称在黑客论坛上泄露了 44,000 条客户记录，还暗示黑客“IntelBroker”参与了 2024 年 11 月的泄密事件，泄露的福特客户记录中包含有客户信息，包括全名、位置、购买详细信息、经销商信息等。目前福特公司正在调查其遭受数据泄露的指控。 暴露的记录并不是极其敏感，但它们包含个人身份信息，这些信息可能会导致针对暴露个人的网络钓鱼和社会工程攻击。 目前，威胁者并没有试图出售该数据集，而是以 8 个积分（相当于 2 美元多一点）的价格将其提供给黑客论坛的注册会员。 据称福特数据在黑客论坛上泄露 该公司发言人表示福特公司已经意识到并正在积极调查有关福特数据被泄露的指控。 根据威胁者最近的表述，IntelBroker 参与此次泄露事件为威胁者的指控提供了一定的可信度。该黑客最近在思科的 DevHub 门户、诺基亚（通过第三方）、欧洲刑警组织的 EPE 门户网站和 T-Mobile（通过供应商）进行了实质性的违规行为。 威胁者泄露的数据样本中提到的地点来自世界各地，包括美国。为了减轻这种潜在数据泄露带来的风险，请谨慎对待未经请求的通信，并拒绝以任何借口透露更多信息的请求。 福特根据正在进行的调查的新发现确定福特的系统或客户数据没有遭到破坏。此事涉及第三方供应商和一小批公开的经销商的营业地址。目前此事现已得到解决。

LastPass 发现，诈骗者正在为其 Chrome 扩展程序撰写评论，以宣传虚假的客户支持电话号码。 其实电话号码背后是更大的阴谋，旨在诱骗呼叫者让诈骗者可以远程访问他们的计算机。 LastPass 是一款流行的密码管理器，它利用 LastPass Chrome 扩展来生成、保存、管理和自动填充网站密码。威胁者试图通过使用虚假的 LastPass 客户支持号码留下 5 星级评论来瞄准该公司的大量用户群。 这些评论敦促遇到任何应用程序问题的用户拨打相关热线以联系 LastPass 在线客户服务，该服务与供应商无关。 Chrome 网上应用店中的欺诈性评论 相反，接听电话的骗子会冒充 LastPass 并将个人引导至“dghelp[.]top”网站，他们必须在其中输入代码才能下载远程支持程序。 虚假支持网站 拨打虚假支持号码的人会有人询问他们遇到的问题，然后询问他们是否试图通过计算机或移动设备访问 LastPass 以及他们使用的操作系统等一系列问题。然后，他们将被引导至 dghelp[.]top 网站，而威胁者仍保持在线状态，并试图让潜在受害者与该网站互动，从而暴露他们的数据。 研究人员发现，在此页面上输入代码将下载 ConnectWise ScreenConnect 代理 [VirusTotal]，该代理将使诈骗者能够完全访问某人的计算机。 由 ConnectWise 签署的支持代理 从那里，一名威胁者可以让呼叫者继续提问。与此同时，另一个诈骗者利用ScreenConnect在后台安装其他程序进行无人值守的远程访问、窃取数据，…

研究人员表明，有恶意分子可以滥用 OpenAI 的 ChatGPT-4o的实时语音 API 来实施从低到中等成功率的金融诈骗。 ChatGPT-4o 是 OpenAI 最新的 AI 模型，带来了新的增强功能，例如集成文本、语音和视觉输入和输出。由于这些新功能，OpenAI 集成了各种保护措施来检测和阻止有害内容，例如复制未经授权的声音。 基于语音诈骗涉及价值数百万美元的问题，而深度伪造技术和人工智能驱动的文本转语音工具的出现只会让情况变得更糟。正如 UIUC 研究人员在他们的论文中所证明的那样，目前不受限制地可用新技术工具没有足够的保护措施来防止网络犯罪和欺诈者的潜在滥用。 这些工具可以通过覆盖语音生成事件的代币成本来设计和实施大规模诈骗操作，而无需人工干预。 研究结果 研究人员的论文探讨了各种诈骗，例如银行转账、礼品卡渗漏、加密货币转账以及社交媒体或 Gmail 帐户的凭据窃取。 执行诈骗的人工智能代理使用支持语音的 ChatGPT-4o 自动化工具来导航页面、输入数据并管理双因素身份验证代码和特定的诈骗相关指令。 由于 GPT-4o 有时会拒绝处理凭据等敏感数据，因此研究人员使用简单的提示越狱技术来绕过这些保护。 研究人员没有展示真实的人，而是展示了他们如何与人工智能代理手动交互，模拟容易上当受骗的受害者的角色，使用美国银行等真实网站来确认成功的交易。 将代理部署在常见诈骗的子集上。通过手动与语音代理交互来模拟诈骗，扮演轻信受害者的角色。为了确定是否成功，需手动确认最终状态是否在真实的应用程序/网站上实现。例如，使用美国银行进行银…

自 2021 年以来，一个名为“fabrice”的恶意 Python 包一直出现在 Python 包索引 (PyPI) 中，从开发人员那里窃取 Amazon Web Services 凭证。 据应用安全公司 Socket 称，该软件包已被下载超过 37,000 次，并执行 Windows 和 Linux 平台特定的脚本。 大量下载是由于fabrice 对合法的SSH 远程服务器管理包“fabric”进行错字造成的，这是一个非常受欢迎的库，下载量超过2 亿次。 该 Fabrice 之所以长期未被检测到，是因为在 PyPI 上首次提交后就部署了先进的扫描工具，而且很少有解决方案进行追溯扫描。 操作系统特定的行为 Fabrice 包旨在根据其运行的操作系统执行操作。在 Linux 上，它在“~/.local/bin/vscode”处设置一个隐藏目录，用于存储分割成多个文件的编码 shell 脚本，这些文件是从外部服务器 (89.44.9[.]227) 检索的。 研究人员解释说，shell 脚本被解码并授予执行权限，让攻击者能够以用户权限执行命令。 在 Windows 上，fabrice 下载编码的有效负载 (base64)，该有效负载是为启动隐藏的 Python 脚本 (d.py) 而创建的 VBScript (p.vbs)。 Python 脚本负责获取恶意可执行文件（“chrome.exe”），该可执行文件被放入受害者的下载文件夹中。 其目的是安排 Windows 任务每 15 分钟执行一次，以确保重新启动后的持久性。 AWS凭证被盗 无论使…

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现13款移动App存在隐私不合规行为，涉及电商等领域。 1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、未声明App运营者的基本情况。涉及8款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《信久久》（版本1.7.1，小米应用商店）、 《吉客赢》（版本5.5.3，应用宝）、 《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、 《价美丽》（版本1.6.6，vivo应用商店）、 《小羊淘券》（版本1.0.2，vivo应用商店）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）、 《多蒙达司机》（版本2.1.22，应用宝）。 2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及7款App如下： 《致题库》（版本5.4.1，小米应用商店）、 《DJ99》（版本1.1.03，应用宝）、 《信久久》（版本1.7.1，小米应用商店）、 《叮咚盲盒》（版本1.5.0，小米应用商店）、 《庆趣供货》（版本3.2.2，vivo应用商店）、 《海豚药药极速版》（版本1.2.0，vivo应用商店）、 《俄界外卖骑手端》（版本1.2.6，vivo应用商店）。 3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人…

往期回顾： 2024.10.28—2024.11.3安全动态周回顾 2024.10.21—2024.10.27安全动态周回顾 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾

据悉，亚马逊已查获了俄罗斯 APT29 黑客组织用于针对政府和军事组织进行针对性攻击的域名，以使用恶意远程桌面操作连接文件窃取 Windows 凭据和数据。 APT29，也被称为“舒适熊”和“午夜暴雪”，是一个由俄罗斯国家支持的网络间谍组织，与俄罗斯对外情报局 (SVR) 有联系。亚马逊澄清说，尽管 APT29 使用的网络钓鱼页面被伪装成 AWS 域，但亚马逊或其云平台的凭证都不是这些攻击的直接目标。 其公告中写道：“他们使用的一些域名试图欺骗目标，让人们相信这些域是 AWS 域（但事实并非如此），但亚马逊不是目标，该组织也不是目标 AWS 客户凭证。相反，APT29 通过 Microsoft 远程桌面寻找目标的 Windows 凭据。” 威胁者以针对全球政府、智库和研究机构的高度复杂的攻击而闻名，通常使用网络钓鱼和恶意软件来窃取敏感信息。 全球范围内的目标组织 尽管 APT29 最近的活动在乌克兰产生了重大影响，但其范围很广泛，并针对多个被视为俄罗斯对手的国家。 亚马逊指出，在这次特定的活动中，APT29 遵循其典型的“窄目标”策略的相反方法，向比平常更多的目标发送了网络钓鱼电子邮件。乌克兰计算机紧急响应小组 (CERT-UA) 发布了有关这些“流氓 RDP”附件的公告，以警告他们在“UAC-0215”下跟踪的大规模电子邮件活动。 这些消息的主题是解决亚马逊和微软服务的“集成”问题以及实施“零信任”网络安全架构（零信任架构，ZTA）。 这些电子邮件包含 RDP（远程桌面协议）连接文件，其名称如“零信任安全环境合规性检查.rdp”，打开…

Pwn2Own Ireland 2024 第四天黑客竞赛结束，这场黑客竞赛旨在让安全研究人员与各种软件和硬件产品进行对抗，试图通过破坏八个类别的目标来赢得“破解大师”的称号，这些目标包括手机、消息应用程序、家庭自动化、智能扬声器、打印机、监控系统、网络附加存储 (NAS) 和 SOHO Smash-up。 本届 Pwn2Own 是白帽黑客连续第四次突破百万美元奖金大关，总共赢得了 1,066,625 美元。 在比赛的最后一天，安全研究人员成功利用了 Lexmark、True NAS 和 QNAP 的设备： ·Team Smoking Barrels 利用了 TrueNAS X 中的两个漏洞。尽管其中一个漏洞之前已在比赛中使用过，但该团队仍然赢得了 20,000 美元和 2 个 Pwn 大师积分。 ·Team Cluck 利用六个漏洞从 QNAP QHora-322 迁移到 Lexmark CX331adwe。其中一个缺陷已被利用，但他们因成功利用而获得了 23,000 美元和 Pwn 大师积分。 ·Viettel Cyber Security 利用两个漏洞使用了 TrueNAS Mini X。他们的链条也依赖于之前在比赛中发现的一个错误，但他们的演示获得了 20,000 美元和 2 个 Pwn 大师积分的奖励。 ·PHP Hooligans / Midnight Blue 利用整数溢出漏洞攻击 Lexmark 打印机，赢得了 10,000 美元和 2 个 Pwn 大师积分。 Viettel Cyber Security 因总共获得 33 …

诺基亚正在调查第三方供应商是否因黑客声称出售该公司被盗的源代码而遭到破坏的事件。该公司称一名未经授权的人称已获取某些第三方承包商数据，甚至可能是诺基亚的数据。诺基亚随后立即展开了调查。 迄今为止，根据调查结果来看尚未发现任何证据表明该司的任何系统或数据受到影响。 此前一个名为 IntelBroker 的恶意分子声称正在出售诺基亚源代码，这些源代码是在破坏第三方供应商的服务器后所获得的，可帮助他们开发一些内部工具。 IntelBroker 出售所谓的诺基亚源代码 IntelBroker 表示，被盗数据包含 SSH 密钥、源代码、RSA 密钥、BitBucket 登录信息、SMTP 帐户、Webhook 和硬编码凭据。 恶意分子表示他们使用默认凭据访问了第三方供应商的 SonarQube 服务器，从而允许他们下载客户的 Python 项目，包括属于诺基亚的项目。 有媒体与诺基亚共享了据称被盗数据的文件树，询问这些数据是否属于他们，但目前尚未收到回复。 此前 IntelBroker 曾入侵 DC Health Link 并在入侵后声名狼藉，与 IntelBroker 相关的其他网络安全事件还包括 Hewlett Packard Enterprise (HPE) 和 Weee 的违规事件。 最近，恶意分子泄露了许多公司的数据，包括 T-Mobile、AMD 和 Apple，这些数据是从第三方 SaaS 供应商处窃取的。

往期回顾： 2024.10.21—2024.10.27安全动态周回顾 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾

近期，研究人员发布了一种工具，可以绕过 Google 新的 App-Bound 加密 cookie 盗窃防御，并从 Chrome 网络浏览器中提取保存的凭据。 该工具名为“Chrome-App-Bound-Encryption-Decryption”，由网络安全研究员 Alexander Hagenah 发现，其他人已经在找出类似的绕过方法。 尽管该工具实现了多个信息窃取者操作已添加到其恶意软件中的功能，但其公开可用性增加了继续在浏览器中存储敏感数据的 Chrome 用户的风险。 Google 的应用程序绑定加密问题 Google 在 7 月份推出了应用程序绑定（App-Bound）加密（Chrome 127）作为一种新的保护机制，该机制使用以 SYSTEM 权限运行的 Windows 服务来加密 cookie。 其目标是保护敏感信息免受 infostealer 恶意软件的侵害，该恶意软件在登录用户的权限下运行，使其无法在没有首先获得系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。 谷歌在 7 月份曾解释：“由于 App-Bound 服务是以系统权限运行的，攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。现在，恶意软件必须获得系统权限，或者将代码注入 Chrome，这是合法软件不应该做的事情。” 然而，到了 9 月份，多个信息窃取者已经找到了绕过新安全功能的方法，并为他们的网络犯罪客户提供了再次窃取和解密 Google Chrome 敏感信息的能力。 信息窃取者开发人员与其工程师之间的“猫捉老鼠”游戏一直是意料之中，…

Redline 和 Meta 都是信息窃取者。作为一种恶意软件，可以从受感染设备上的浏览器窃取存储的信息，包括凭据、身份验证 cookie、浏览历史记录、敏感文档、SSH 密钥和加密货币钱包。这些数据随后被威胁者出售或用于助长大规模网络漏洞，从而导致数据盗窃、勒索软件攻击和网络间谍活动。 近期，荷兰国家警察在“马格努斯行动”中查获了 Redline 和 Meta infostealer 恶意软件操作的网络基础设施，并悉数掌握网络犯罪分子手中的数据。 此次行动在国际执法合作伙伴的帮助下进行，这些合作伙伴包括联邦调查局 (FBI)、海军罪案调查处 (NCIS)、美国司法部、欧洲司法组织 (Eurojust)、国家犯罪局 (NCA) 以及葡萄牙和比利时的警察部队。 目前该组织已经宣布针对 Redline 和 Meta 用户进行“最终更新”，提醒他们现在注意自己的帐户凭据、IP 地址、活动时间戳、注册详细信息等。 这表明调查人员掌握了可用于追踪使用该恶意软件的网络犯罪分子的证据，因此未来很可能会进行逮捕和起诉。 此外，当局声称他们可以访问这两种恶意软件的源代码，包括许可证服务器、REST-API 服务、面板、窃取程序二进制文件和 Telegram 机器人。 Meta 和 Redline 共享相同的基础设施，因此这两个项目背后可能有相同的创建者或运营者。Redline 和 Meta 都是通过 Telegram 上的机器人出售的，这些机器人现已被删除。 NCA 国家网络犯罪部门负责人、副主任 Paul Foster 表示：“这些服务得到了犯罪生态…

往期回顾： 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾

Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序，累计下载量接近 800 万次。 这些数据是由 Zscaler 的威胁情报研究人员在 2023 年 6 月至 2024 年 4 月期间收集的，他们识别并分析了 Google Play 和其他分发平台上的恶意软件家族。 研究人员在官方 Android 应用商店中发现的最常见威胁包括： ·Joker (38.2%)：信息窃取者和短信抓取器，为受害者订阅高级服务 ·Adware (35.9%)：消耗互联网带宽和电池来加载侵入性前台广告或后台隐形广告的应用程序，产生欺诈性广告印象 ·Facestealer (14.7%)：在合法社交媒体应用程序之上覆盖网络钓鱼表单的 Facebook 帐户凭据窃取程序 ·Coper (3.7%)：信息窃取程序和 SMS 消息拦截器，还可以执行键盘记录和覆盖网络钓鱼页面 ·Loanly Installer (2.3%) ·Harly ( 1.4%）：为受害者订阅高级服务的木马应用程序 ·Anatsa（0.9%）：Anatsa（或 Teabot）是一种银行木马，针对全球 650 多个银行应用程序 今年 5 月初，这些研究人员在 Google Play 上发现了 90 多个恶意应用程序，下载量为 550 万次。 尽管谷歌拥有检测恶意应用程序的安全机制，但威胁分子仍然有一些技巧来绕过验证过程。在去年的一份报告中，谷歌云安全团队描述了“版本控制”，这是一种通过应用程序更新或从攻击者控制的服务器加载恶意软件来传播恶意软件的方法。 无论…

CISA 表示，已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。 通过绘制内部设备图，威胁者可以潜在地识别网络上易受攻击的设备，作为网络攻击规划阶段的一部分。 据 CISA 表述，“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。” F5 持久会话 cookie F5 BIG-IP 是一套应用程序交付和流量管理工具，用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器（LTM）模块，它提供流量管理和负载平衡，以在多个服务器之间分配网络流量。使用此功能，客户可以优化其负载平衡的服务器资源和高可用性。 产品中的本地流量管理器 (LTM) 模块使用持久性 cookie，通过每次将来自客户端（Web 浏览器）的流量引导到同一后端服务器来帮助维护会话一致性，这对于负载平衡至关重要。 “Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 与所有持久模式一样，HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用，系统会进行新的负载权衡决定。 这些 cookie 默认情况下未加密，可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始，管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。 那些选择不启用它的人会面临安全风险。但是，这些 co…

往期回顾： 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾

目前，来自俄罗斯、土耳其、乌克兰和欧亚地区其他国家的超过 28,000 人正受到大规模加密货币窃取恶意软件活动的影响。 该恶意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推广的合法软件，受害者在其中下载受密码保护的档案，从而引发感染。 据网络安全公司 Dr. Web 称，该活动使用盗版办公相关软件、游戏作弊和黑客行为，甚至自动交易机器人来欺骗用户下载恶意文件。 据悉，这次恶意软件活动总共影响了 28,000 多人，其中绝大多数是俄罗斯居民。另外。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了大量感染病例。 宣传 Microsoft Excel 本地化（俄语）下载的恶意网站 感染链 感染首先打开一个自解压存档，该存档在下载时会逃避防病毒扫描，因为它受密码保护。受害者输入提供的密码后，存档会释放各种混淆的脚本、DLL 文件和用于启动主有效负载的数字签名加载程序的 AutoIT 解释器。 该恶意软件会检查调试工具是否存在，以查看它是否在分析人员的环境中运行，如果发现任何工具，则会终止。 接下来，它提取攻击后续阶段所需的文件，然后使用图像文件执行选项 (IFEO) 技术修改 Windows 注册表以实现持久性。 简而言之，它利用恶意服务劫持合法的 Windows 系统服务以及 Chrome 和 Edge 的更新进程，因此恶意软件文件会在这些进程启动时执行。 Windows 恢复服务被禁用，并且恶意软件文件和文件夹的“删除”和“修改”权限被撤销，以防止尝试清理。 从那时起，Ncat 网络…

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。 TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。 假锁屏窃取 Android PIN TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。 作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。 攻击中使用的银行覆盖层 Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。 欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 显示的假 Android 锁屏 窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，…

Microsoft 已在未来版本的 Windows Server 中正式弃用点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP)，并建议管理员切换到提供更高安全性的不同协议。 20 多年来，该企业一直使用 PPTP 和 L2TP VPN 协议来提供对企业网络和 Windows 服务器的远程访问。 然而，随着网络安全攻击和资源变得更加复杂和强大，协议变得越来越不安全。例如，PPTP 很容易受到捕获的身份验证哈希值的离线强力攻击，而 L2TP 不提供加密，除非与其他协议（如 IPsec）结合使用。 但是，如果 L2TP/IPsec 配置不正确，可能会引入使其容易受到攻击的弱点。 因此，Microsoft 建议用户转向更新的安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 协议，这些协议可提供更好的性能和安全性。 微软表示：“此举是微软战略的一部分，旨在通过将用户过渡到安全套接字隧道协议（SSTP）和互联网密钥交换版本 2（IKEv2）等更强大的协议来增强安全性和性能。” 这些更新协议能提供相对来说的更加安全的加密、更快的连接速度和更好的可靠性，使它们更适合当今日益复杂的网络环境。 Microsoft 还分享了每个协议的以下优点： SSTP 的优点 ·强加密：SSTP使用SSL/TLS加密，提供安全的通信通道。 ·防火墙穿越：SSTP可以轻松穿过大多数防火墙和代理服务器，确保无缝连接。 ·易于使用：凭借 Windows 的本机支持，SSTP 的配置和部署非常简单。 IKEv2的优点 ·安全…

今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。 10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。 美研发嫁祸他国隐身“工具包”代号“大理石” 报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。 国家计算机病毒应急处理中心高级工程师杜振华介绍，“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。 技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可…

往期回顾： 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾

Underground 勒索软件团伙声称对上周针对日本科技巨头卡西欧的攻击负责，此次攻击导致系统中断并影响了该公司的部分服务。近日，卡西欧在其网站上披露了此次攻击，但未透露有关该事件的详细信息，称已聘请外部 IT 专家来调查个人数据或其他机密信息是否在攻击中被盗。 目前，Underground 勒索软件组织已将卡西欧添加到其暗网勒索门户网站上，泄露了据称从这家日本公司窃取的大量数据。 泄露的数据包括： 社外秘、法律文件、员工个人资料、保密保密协议、员工工资信息、专利信息 公司财务文件、项目信息、事件报告。 如果上述情况属实，则此次攻击已经损害了卡西欧的员工和知识产权，这可能对其业务产生负面影响。 卡西欧数据在 Underground 勒索软件门户网站上泄露 有媒体再次联系卡西欧，询问对威胁者的说法和数据泄露发表评论，但尚未收到任何回应。 Underground 勒索软件概述 根据 Fortinet 2024 年 8 月下旬的报告，Underground 是自 2023 年 7 月以来针对 Windows 系统的规模相对较小的勒索软件操作。 该病毒与俄罗斯网络犯罪组织“RomCom”(Storm-0978) 有关，该组织此前曾在被破坏的系统上向古巴传播勒索软件。 Fortinet 报告称，今年夏天，Underground 勒索软件运营商开始利用 CVE-2023-36884，这是 Microsoft Office 中的一个远程代码执行缺陷，很可能被用作感染媒介。一旦系统遭到破坏，攻击者就会修改注册表，以在用户断开连接后使远程桌面会话保…

Mallox 勒索软件行动的附属机构（也称为 TargetCompany）被发现使用稍微修改过的 Kryptina 勒索软件版本攻击 Linux 系统。 SentinelLabs 表示，此版本与其他针对 Linux 的 Mallox 变体不同，例如 Trend Micro 研究人员去年 6 月描述的变体，这突显了勒索软件生态系统的策略转变。此外，这再次表明，之前只针对 Windows 的恶意软件 Mallox 正在将 Linux 和 VMWare ESXi 系统纳入其攻击范围，标志着该行动的重大演变。 从 Kryptina 到 Mallox Kryptina 于 2023 年底作为针对 Linux 系统的低成本（500-800 美元）勒索软件即服务 (RaaS) 平台推出，但未能在网络犯罪社区引起关注。 2024 年 2 月，其所谓的管理员使用别名“Corlys”在黑客论坛上免费泄露了 Kryptina 的源代码，据推测这些源代码被有意获得可运行的 Linux 变体的随机勒索软件参与者获取。 威胁者泄露源代码 在 Mallox 的一家附属公司遭遇操作失误并暴露其工具后，SentinelLabs 发现 Kryptina 已被该项目采用，其源代码被用于构建重新命名的 Mallox 有效载荷。 暴露服务器上的 Kryptina 源代码 重新命名的加密器名为“Mallox Linux 1.0”，使用 Kryptina 的核心源代码、相同的 AES-256-CBC 加密机制和解密例程，以及相同的命令行构建器和配置参数。 这表明 Mallox…

从上月开始，俄罗斯网络安全公司卡巴斯基从美国各地客户的计算机中删除了其反恶意软件，并自动用 UltraAV 的防病毒解决方案取而代之。 此前，卡巴斯基决定关闭其美国业务并裁掉美国员工，以回应美国政府于 6 月将卡巴斯基列入实体名单，该名单列出了“被视为国家安全问题的外国个人、公司和组织”。6 月 20 日，拜登政府还宣布，由于存在潜在的国家安全风险，将从 2024 年 9 月 29 日起禁止在美国销售和更新卡巴斯基杀毒软件。 7 月，卡巴斯基表示，由于销售和分销禁令，该公司将于 7 月 20 日开始关闭业务并裁员。9 月初，卡巴斯基还向客户发送电子邮件，保证在卡巴斯基停止向美国客户销售软件和更新后，他们将继续从 UltraAV（Pango Group 旗下）获得“可靠的网络安全保护”。 然而，这些电子邮件没有告知用户，卡巴斯基的产品将突然从他们的计算机中删除，并由 UltraAV 替换，且不会发出任何提示。 卡巴斯基关于 UltraAV 过渡的电子邮件 UltraAV 被强制安装在卡巴斯基用户的电脑上 许多在线客户表示，UltraAV 的软件在未经任何事先通知的情况下就安装在他们的计算机上，因此许多人担心他们的设备已感染恶意软件。 虽然有些用户可以使用该软件的卸载程序卸载 UltraAV，但那些尝试使用卸载应用程序删除它的用户发现它会在重启后重新安装，这进一步引发了用户对潜在恶意软件感染的担忧。有些人还发现安装了 UltraVPN，可能是因为他们订阅了卡巴斯基 VPN。 除了隶属于 Pango Group之外，人们对 UltraAV …