安全资讯报告
网络安全公司Mandiant股价大涨,有报道称微软有意收购
MandiantInc.(MNDT)在完全剥离FireEye设备业务后进入新的一年,这家网络安全软件和服务公司周二公布的业绩超过了华尔街的预期。
Mandiant的股价在财报发布后的盘后交易中上涨了3%,此前在常规交易中收盘时上涨了近18%,此前有报道称微软(Microsoft Corp.,MSFT)正在洽谈收购Mandiant。
去年10月8日,FireEye剥离其传统产品业务,集中于基于云的服务和情报咨询业务,并更名Mandiant。自从那次拆分后,Mandiant能够更好地专注于它认为自己擅长的领域。
新闻来源:
https://cn.wsj.com/articles/%...
恶意软件在感染PC后仅30分钟就开始阅读您的电子邮件
根据网络安全机构DFIR对10月份发现的样本的分析,Qbot恶意软件于2007年出现,使其在以服务为主导的新勒索软件世界中几乎成为古董,但该恶意软件仍然灵活高效。
该恶意软件的运营商依赖可点击的网络钓鱼消息,包括纳税提醒、工作机会和COVID-19警报。它可以从Chrome、Edge、电子邮件和网上银行密码中窃取数据。
DFIR研究人员研究了一个案例,其中初始访问权限未知,但很可能是通过受污染的Microsoft Excel文档传递的,该文档配置为从网页下载恶意软件,然后使用Windows计划任务来获得对系统的更高级别的访问权限。
在初次访问30分钟后,观察到Qbot从中毒电脑收集数据,包括浏览器数据和来自Outlook的电子邮件。在感染大约50分钟后,中毒系统将Qbot dll复制到相邻的工作站,然后由远程执行创建服务。几分钟后,这台电脑对另一个相邻的工作站做了同样的事情,然后继续下一个……
Qbot的运营商已经扩展到勒索软件。安全公司卡巴斯基报告称,与去年相比,截至2021年7月的六个月内,Qbot恶意软件感染的PC数量增加了65%。微软因其模块化设计使其难以检测到,因此重点关注该恶意软件。
该恶意软件隐藏恶意进程并创建计划任务以保留在机器上。一旦在受感染的设备上运行,它就会使用多种技术进行横向移动。FBI警告说,Qbot木马被用来分发ProLock,这是一种“人为操作的勒索软件”。
新闻来源:
https://www.zdnet.com/article...
伊朗黑客事件震惊了全球网络安全社区
在2021年的最后几天,总部位于德黑兰的网络安全公司Amnpardaz Software Co.详细介绍了一个惊人的发现:一台惠普服务器中存在一段神秘的恶意代码。
当Amnpardaz于12月宣布发现该恶意软件时,它引起了安全专业人士的注意。Amnpardaz表示,其技术人员于2020年首次发现该可疑软件,当时一位客户提供了一台似乎出现故障的HPE服务器。这台机器一直在正常运行,但似乎是出于自己的意愿,它开始反复删除其硬盘驱动器。
Amnpardaz调查并发现有人在HPE服务器的Integrated Lights Out固件中嵌入了一个精心设计的恶意软件,使IT经理能够远程访问机器——即使它们已关闭电源。
恶意软件禁用了服务器上的关键安全控制。该公司表示,它发现了黑客使用该恶意软件远程访问服务器至少六个月的证据,然后触发了自毁循环以清除攻击的证据。
恶意软件使用了服务器2017年修复的iLO固件中的一个漏洞。“我们无法了解这台服务器是如何进入伊朗的。HPE不会直接或间接向伊朗或打算向伊朗发送产品的任何客户销售产品。”由于美国政府的制裁,美国公司几乎完全禁止向伊朗销售产品,但这些技术通常可以通过庞大的独立经销商和第三方网络非法获取。
在研究Amnpardaz的调查结果后,位于俄勒冈州的固件安全公司Eclypsium Inc.表示,该恶意软件“已被证明是隐秘的、持久的和破坏性的”,对被破坏的机器进行“几乎无所不能的控制”能力。
新闻来源:
https://www.bloomberg.com/new...
伪造的Windows 11升级安装程序会感染RedLine恶意软件
威胁参与者已开始向Windows 10用户分发虚假的Windows 11升级安装程序,诱使他们下载和使用RedLine窃取恶意软件。
攻击的时机恰逢微软宣布Windows 11阶段。RedLine窃取程序是目前部署最广泛的密码、浏览器cookie、信用卡和加密货币钱包信息抓取程序,因此其感染会窃取受害者关键隐私信息。
研究人员称,攻击者使用看似合法的“windows-upgraded.com”域来进行其活动的恶意软件分发部分。
该站点看起来像一个真正的Microsoft站点,如果访问者单击“立即下载”按钮,他们会收到一个1.5MB的ZIP存档,名为“Windows11InstallationAssistant.zip”。
解压后会生成一个大小为753MB的文件夹,当受害者启动文件夹中的可执行文件时,一个带有编码参数的PowerShell进程就会启动。最终下载恶意DLL文件,该DLL文件是一个RedLine窃密木马的有效负载,它通过TCP连接到C2服务器,以执行远程恶意指令。
新闻来源:
https://www.bleepingcomputer....
Lazarus黑客以虚假的洛克希德马丁工作机会瞄准国防工业
高级持续威胁(APT)组织在最近的行动中冒充洛克希德马丁公司。这家总部位于马里兰州贝塞斯达的公司涉足航空、军事技术、任务系统和太空探索。洛克希德马丁公司在2020年创造了654亿美元的销售额,在全球拥有约114,000名员工。
2月8日,威胁研究的Qualys高级工程师AkshatPradhan透露了一项新的活动,该活动使用洛克希德马丁公司的名义攻击求职者。与过去滥用Northrop Grumman和BAE Systems声誉的活动类似,Lazarus正在向目标发送网络钓鱼文件,假装提供就业机会。
在相关研究中,Outpost24的Blueliv网络安全团队将Lazarus、Cobalt和FIN7列为当今针对金融行业的最普遍的威胁群体。
新闻来源:
https://www.zdnet.com/article...
美国逮捕了两人并没收了在2016年Bitfinex黑客攻击中被盗的36亿美元加密货币
美国司法部(DoJ)周二宣布逮捕一对已婚夫妇,他们共谋洗钱价值45亿美元的加密货币,该加密货币在2016年虚拟货币交易所Bitfinex遭到黑客攻击期间被盗用。
34岁的伊利亚·利希滕斯坦(Ilya Lichtenstein)和他的妻子、31岁的希瑟·摩根(Heather Morgan)被指控“通过迷宫般的加密货币交易窃取资金”,执法部门通过追踪这笔钱获得了超过36亿美元的加密货币踪迹,导致“有史以来最大的金融扣押”。
洗钱计划涉及通过启动2,000多笔未经授权的交易,将119,754比特币(BTC)的收益从Bitfinex转移到Lichtenstein控制下的数字钱包中。在过去五年中,大约25,000个被盗比特币随后被转移并存入这对夫妇持有的金融账户。
为了实现这一目标,被告使用了许多复杂的洗钱方法,包括——
- 使用虚假身份设置在线帐户,
- 使用软件自动化交易,
- 将被盗资金存入各种虚拟货币交易所和暗网市场的账户,以混淆交易线索,
- 将比特币转换为其他私人数字货币,如门罗币,一种称为链跳的做法,以及
- 滥用美国企业账户使其银行活动合法化
根据法院授权对两人控制的在线账户的搜查令,执法人员最终获得了对保存在Lichtenstein的云存储账户中的文件的访问权限,该文件包含访问用于接收资金的数字钱包所需的私钥,从而使当局收回剩余的94,000多枚比特币。
Lichtenstein和Morgan都被控串谋洗钱,最高可判处20年监禁,以及串谋诈骗美国,最高可判处5年监禁。
新闻来源:
https://thehackernews.com/202...
FBI警告犯罪分子升级SIM卡交换攻击以窃取数百万美元
联邦调查局(FBI)表示,犯罪分子已升级SIM卡交换攻击,通过劫持受害者的电话号码窃取数百万美元。
骗子通过使用社会工程或在一名或多名受贿员工的帮助下诱使电话服务提供商将目标的电话号码交换为攻击者控制的SIM卡来做到这一点。移植SIM卡后,犯罪分子将收到受害者的电话和消息,从而非常容易绕过基于SMS的MFA、窃取凭据并控制受害者的在线服务帐户。
FBI的警告是在美国联邦通信委员会(FCC)于10月宣布开始制定规则以阻止SIM交换攻击之后发出的。FCC的举措是消费者收到大量投诉的结果,这些投诉涉及SIM卡交换攻击和移植欺诈导致的重大痛苦和财务损失。
从2018年1月到2020年12月,FBI互联网犯罪投诉中心(IC3)收到了320起与SIM交换事件相关的投诉,调整后损失约为1200万美元。2021年,IC3收到了1,611起SIM交换投诉,调整后损失超过6800万美元。
新闻来源:
https://www.bleepingcomputer....
伊朗黑客在“出海”间谍活动中使用新的Marlin后门
一个与伊朗有联系的高级持续性威胁(APT)组织更新了其恶意软件工具集,以包括一个名为Marlin的新后门,作为2018年4月开始的长期间谍活动的一部分。
斯洛伐克网络安全公司ESET将这些代号为“OuttoSea”的攻击归因于名为OilRig(又名APT34)的威胁行为者,同时还最终将其活动与以Lyceum(Hexaneaka Siamese Kitten)为名追踪的第二个伊朗组织联系起来。
“该活动的受害者包括以色列、突尼斯和阿拉伯联合酋长国的外交组织、科技公司和医疗组织。”ESET在其与黑客新闻共享的T32021威胁报告中指出。
该黑客组织至少从2014年开始活跃,众所周知,它袭击了中东政府和各种垂直行业,包括化学、能源、金融和电信。2021年4月,以名为SideTwist的植入物针对黎巴嫩,而此前归因于Lyceum的活动已针对以色列、摩洛哥、突尼斯和沙特阿拉伯的IT公司进行了攻击。
还值得注意的是,自2018年该活动曝光以来,它们已经演变为放弃多个后门——从DanBot开始,到2021年过渡到Shark和Milan——利用新的数据收集在2021年8月检测到攻击名为Marlin的恶意软件。
新闻来源:
https://thehackernews.com/202...
安全漏洞威胁
顶级服务器发现重大安全漏洞
安全公司Binarly发现了20多个隐藏在BIOS/UEFI软件中的漏洞,这些漏洞来自各种系统供应商,包括英特尔、微软、联想、戴尔、富士通、惠普、HPE、西门子和Bull Atos。
Binarly发现这些问题与InsydeH20的使用有关,InsydeH20是一种用于构建主板统一可扩展固件接口(UEFI)的框架代码,它是计算机操作系统和固件之间的接口。
上述所有供应商都使用Insyde的固件SDK进行主板开发。预计其他内部和第三方BIOS供应商产品中也存在类似类型的漏洞。
这些漏洞特别危险,因为基于UEFI/BIOS的攻击可以绕过基于固件的安全机制。这些漏洞包括SMM分配或权限提升、SMM内存损坏和DXE内存损坏。
这些漏洞造成的潜在损害非常严重,攻击者可以利用它们绕过基于硬件的安全功能,例如安全启动、基于虚拟化的安全(VBS)和可信平台模块(TPM)。这些漏洞存在于UEFI中,允许恶意软件安装在系统上,即使硬盘格式化操作系统重装后仍然存在。
新闻来源:
https://www.networkworld.com/...
SAP为ICMAD漏洞、log4j问题等发布补丁
网络安全公司Onapsis发现SAP三个CVSS为10、8.1和7.5的漏洞后,SAP已对其进行了修补。
这些补丁是该公司发布的关于一系列安全问题的19个安全说明的一部分。其中三个漏洞与log4j相关,CVSS为10。
Onapsis发现的漏洞——被称为“ICMAD”——允许攻击者对SAP用户、业务信息和流程执行严重的恶意活动,最终危及未修补的SAP应用程序。这些问题围绕着SAP的Internet通信管理器(ICM),这是他们许多应用程序的核心组件。
ICM是在SAP系统中启用HTTP(S)通信的SAP组件。两家公司解释说,由于ICM在设计上暴露于互联网和不受信任的网络,因此该组件中的漏洞具有更高的风险水平。
Onapsis的首席技术官JPPerez-Etchegoyen告诉ZDNet,通过一个请求,攻击者就能够以纯文本形式窃取每个受害者会话和凭据,并修改应用程序的行为。
Perez-Etchegoyen说:“对于攻击者来说,滥用这些漏洞可能很简单,因为它不需要先前的身份验证,没有必要的先决条件,并且有效载荷可以通过HTTP(S)发送。”
Onapsis首席执行官兼联合创始人Mariano Nunez认为:“这些漏洞可以通过互联网被利用,而无需攻击者在目标系统中进行身份验证,这使得它们非常关键。”
新闻来源: