安全资讯报告
GoDaddy:超过100万WordPress客户数据外泄
网络托管巨头GoDaddy周一披露了一起数据泄露事件,导致共有120万活跃和非活跃客户的数据遭到未经授权的访问,这是自2018年以来曝光的第三起安全事件。
GoDaddy透露,它在11月17日发现了闯入事件。对该事件的调查正在进行中,该公司表示正在“直接联系所有受影响的客户,提供具体细节”。相信入侵者已存取下列资料——
多达120万个活跃和不活跃的托管WordPress客户的电子邮件地址和客户数量;
暴露了在配置时设置的原始WordPress管理员密码;
与其活跃客户相关的sFTP和数据库用户名和密码,以及一部分活跃客户的SSL私钥;
GoDaddy表示正在为受影响的客户颁发和安装新证书。作为预防措施,该公司还表示已重置受影响的密码,并通过增加安全保护来支持其配置系统。
新闻来源:
https://thehackernews.com/2021/11/godaddy-data-breach-exposes-over-1.html
发现针对疫苗制造行业的恶意软件攻击
据安全研究人员称,发现了一种新的Windows恶意软件,它可以不断适应以避免检测,其目标是生物技术行业,包括疫苗制造企业背后的基础设施。
该警告来自一家名为BIO-ISAC的非营利组织,该组织专注于信息共享,以保护生物技术行业免受网络安全威胁。BIO-ISAC解释说,威胁行为者使用名为“Tartigrade”的自定义变形版“SmokeLoader”,该版本通过网络钓鱼或U盘传送。
该恶意软件可以从内存中重新编译加载程序,而不会留下一致的签名,因此识别、跟踪和删除要困难得多。SmokeLoader充当隐形入口点,下载更多有效载荷、操作文件和部署其他模块。过去的SmokeLoader版本严重依赖外部方向,但该变体可以自主运行,甚至无需C2连接。即使C2宕机,恶意软件仍会根据内部逻辑和高级决策能力继续横向移动,甚至具有选择性识别文件进行修改的能力。
新闻来源:
https://www.bleepingcomputer.com/news/security/hackers-target-biomanufacturing-with-stealthy-tardigrade-malware/
新的恶意软件几乎能规避所有的防毒产品
专家警告说,有一个新的JavaScript下载器正在徘徊,它不仅会分发八种不同的远程访问木马(RAT)、键盘记录器和信息窃取程序,而且还能够绕过大多数安全工具的检测。
HP Wolf Security的网络安全研究人员将恶意软件命名为RATDispenser,并指出虽然JavaScript下载程序的检测率通常低于其他下载程序,但这种特定的恶意软件更危险,因为它采用了多种技术来逃避检测。
令人担忧的是,只有大约11%的防病毒系统检测到RATDispenser,导致这种隐蔽的恶意软件在大多数情况下成功部署在受害者的端点上。RAT和键盘记录器帮助攻击者获得对受感染计算机的后门访问。然后,攻击者通常会使用访问权限来帮助窃取用户帐户和越来越多的加密货币钱包的凭据,在某些情况下甚至可能将访问权限转给勒索软件运营商。
研究人员指出,感染链始于用户收到一封包含恶意混淆JavaScript的电子邮件。当它运行时,JavaScript会写入一个VBScript文件,该文件会在删除自身之前依次下载恶意软件负载。进一步的研究表明,在过去三个月中,总共155个样本中至少存在三种不同的RATDispenser变种。虽然这些样本中的大多数是dropper,但有10个是通过网络通信以获取恶意软件的下载器。
新闻来源:
https://www.techradar.com/news/new-malware-is-capable-of-evading-almost-all-antivirus-products
超过900万Android设备被信息窃取木马感染
大规模恶意软件活动已导致大约9,300,000次安装Android木马,木马伪装成190多个不同的应用程序。伪装成模拟器、平台游戏、街机游戏、RTS策略以及面向俄语、中文或国际(英语)用户的射击游戏。如果用户喜欢这款游戏,他们就不太可能将它们删除。
这种Cynos木马变种的功能可以执行各种恶意活动,包括监视短信文本以及下载和安装其他有效负载。
Android.Cynos.7.origin是Cynos程序模块的修改之一。该模块可以集成到Android应用程序中以通过它们获利。恶意软件分析师发现恶意软件的主要功能是收集有关用户及其设备的信息并显示广告。
新闻来源:
https://www.bleepingcomputer.com/news/security/over-nine-million-android-devices-infected-by-info-stealing-trojan/
苹果起诉间谍软件制造商NSO Group
Apple已对Pegasus(飞马)间谍软件制造商NSO Group及其母公司提起诉讼,指控其使用监视技术瞄准和监视Apple用户。苹果表示,使用NSO间谍软件的攻击仅针对“极少数”个人,跨多个平台,包括iOS和Android。
用于部署NSO Group的Pegasus间谍软件被用来入侵和破坏高价值目标的设备,例如世界各地的政府官员、外交官、活动家、持不同政见者、学者和记者。
为了防止对其用户的进一步滥用和伤害,Apple还寻求永久禁令,禁止NSO Group使用任何Apple软件、服务或设备。
新闻来源:
https://www.bleepingcomputer.com/news/apple/apple-sues-spyware-maker-nso-group-notifies-ios-exploit-targets/
FBI警告针对知名品牌客户的网络钓鱼
美国联邦调查局(FBI)今天警告说,最近检测到的鱼叉式网络钓鱼电子邮件活动在被称为品牌网络钓鱼的攻击中针对“品牌公司”的客户。该警告是通过该局的互联网犯罪投诉中心平台与网络安全和基础设施安全局(CISA)协调发布的公共服务公告。
目标通过各种方式发送到网络钓鱼登陆页面,包括垃圾邮件、短信或网络和移动应用程序,这些应用程序可能会欺骗公司官方网站的身份或在线地址。
攻击者将登录表单或恶意软件嵌入到他们的网络钓鱼页面中,最终目标是窃取受害者的用户凭据、付款详细信息或各种其他类型的个人身份信息(PII)。除了这些正在进行的网络钓鱼攻击之外,威胁行为者还可能开发工具来诱使潜在目标泄露信息,从而通过拦截电子邮件和入侵帐户来绕过帐户保护双因素身份验证(2FA)。
新闻来源:
https://www.bleepingcomputer.com/news/security/fbi-warns-of-phishing-targeting-high-profile-brands-customers/
安全漏洞威胁
专为关键工业应用设计的Wi-Fi模块中发现严重漏洞
思科的Talos研究和威胁情报部门在一个专为关键工业和商业应用设计的Lantronix Wi-Fi模块中发现了20多个漏洞。
受影响的产品PremierWave 2050企业Wi-Fi模块提供始终在线的5G Wi-Fi连接,专为关键任务操作而设计。根据供应商的网站,它提供企业级安全性。Cisco Talos研究人员发现该产品总共受到21个漏洞的影响,其中大多数被指定为严重或高严重等级。Talos发布了18个单独的公告来描述这些漏洞。
研究人员在Lantronix PremierWave 2050版本8.9.0.0R4上重现了这些漏洞,Talos声称没有针对安全漏洞的官方补丁,尽管供应商自6月15日以来就知道这些漏洞。
Talos研究人员发现的漏洞包括操作系统命令注入、远程代码执行、信息泄露。远程攻击者可以利用这些漏洞完全破坏PremierWave 2050操作系统。Talos的研究工程师Matt Wiseman告诉SecurityWeek,他们可以从那里做什么取决于模块所嵌入系统的功能。
新闻来源:
https://www.securityweek.com/serious-vulnerabilities-found-wi-fi-module-designed-critical-industrial-applications
恶意软件现在试图利用新的Windows Installer零日漏洞
恶意软件创建者已经开始测试针对安全研究人员Abdelhamid Naceri周末公开披露的新Microsoft Windows Installer零日漏洞的概念验证漏洞。
“Talos已经在野外检测到试图利用此漏洞的恶意软件样本,”思科Talos安全情报与研究小组的技术负责人Jaeson Schultz说。
然而,正如Cisco Talos的外展主管Nick Biasini告诉BleepingComputer的那样,这些漏洞利用尝试是小规模攻击的一部分,可能专注于测试和调整漏洞利用以进行全面的攻击活动,研究人员已经追踪到几个恶意样本。
“由于数量很少,这很可能是人们在处理概念代码证明或为未来的活动进行测试。这只是更多地证明了对手如何迅速将公开可用的漏洞利用武器化。”
该漏洞是一个本地特权提升漏洞,是微软在2021年11月的补丁星期二发布补丁的绕过,以解决跟踪为CVE-2021-41379的缺陷。Naceri发布了针对这个新0day漏洞的POC(概念验证代码),称适用于所有受支持的Windows版本。
如果成功利用,此绕过为攻击者提供了对运行最新Windows版本(包括Windows 10、Windows 11和Windows Server 2022)的系统权限。SYSTEM权限是Windows用户可用的最高用户权限,可以执行任何操作系统命令。
通过利用这种零日漏洞,对受感染系统的访问权限有限的攻击者可以轻松提升其特权,以帮助在受害者网络中横向传播。解决该漏洞,只能等待微软发布新的补丁。
新闻来源:
https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/