微软确认服务器配置错误导致65,000多家公司的数据泄露
微软本周证实,在安全漏洞导致端点无需任何身份验证即可通过互联网公开访问后,它无意中暴露了与数千名客户相关的信息。
微软在警报中表示: “这种错误配置可能导致未经身份验证访问与微软和潜在客户之间的交互相对应的某些业务交易数据,例如微软服务的规划或潜在实施和供应。”
微软还强调,B2B 泄漏是“由微软生态系统中未使用的端点上的无意错误配置引起的,并且不是安全漏洞的结果。”
2022 年 9 月 24 日,网络安全公司 SOCRadar 发现了 Azure Blob 存储的错误配置,该公司将泄漏称为BlueBleed。微软表示正在直接通知受影响的客户。
这家 Windows 制造商没有透露数据泄露的规模,但据 SOCRadar 称,它影响了 111 个国家的 65,000 多个实体。暴露的数据量为 2.4 TB,其中包括发票、产品订单、签署的客户文件、合作伙伴生态系统详细信息等。
“暴露的数据包括 2017 年至 2022 年 8 月的文件,”SOCRadar说。
然而,微软对该问题的严重程度提出了异议,称数据包括姓名、电子邮件地址、电子邮件内容、公司名称和电话号码,以及与“客户与微软或授权微软合作伙伴之间”的业务相关的附加文件。
它还在其披露中声称,威胁情报公司“大大夸大了”问题的范围,因为数据集包含“重复信息,多次引用相同的电子邮件、项目和用户”。
最重要的是,Redmond 对 SOCRadar 发布公共搜索工具的决定表示失望,称该工具会使客户面临不必要的安全风险。
SOCRadar 在周四的后续帖子中将 BlueBleed 搜索引擎比作数据泄露通知服务“我被控制了吗”,将其描述为组织搜索其数据是否在云数据泄露中暴露的一种方式。
这家网络安全供应商还表示,应微软的要求,它已暂停自 2022 年 10 月 19 日起向客户提供的威胁搜寻模块中的所有 BlueBleed 查询。
安全研究员凯文博蒙特在推特上写道:“微软无法(阅读:拒绝)告诉客户获取了哪些数据,并且显然没有通知监管机构——这是一项法律要求——具有重大反应迟钝的标志。” “我希望不是。”
Beaumont 进一步表示,微软的存储桶“已经被Grayhat Warfare等服务公开索引了几个月”,而且“它甚至在搜索引擎中”。
没有证据表明该信息在披露之前被威胁行为者不当访问,但此类泄漏可能被用于恶意目的,例如勒索、社会工程攻击或快速获利。
KnowBe4 的安全意识倡导者 Erich Kron 表示:“虽然可能已访问的一些数据看起来微不足道,但如果 SOCRadar 暴露的内容是正确的,它可能包括一些有关潜在客户的基础设施和网络配置的敏感信息。”电子邮件中的黑客新闻。
“这些信息对于可能在这些组织的网络中寻找漏洞的潜在攻击者可能很有价值。”
多个活动利用 VMware 漏洞部署加密矿工和勒索软件
已观察到 VMware Workspace ONE Access 中一个现已修补的漏洞被用来在受影响的机器上提供加密货币矿工和勒索软件。
Fortinet FortiGuard 实验室研究员 Cara Lin在周四的一份报告中说:“攻击者打算尽可能多地利用受害者的资源,不仅安装 RAR1Ransom 进行勒索,还传播 GuardMiner 以收集加密货币。”
该问题被跟踪为CVE-2022-22954(CVSS 评分:9.8),涉及一个源自服务器端模板注入案例的远程代码执行漏洞。尽管这家虚拟化服务提供商在 2022 年 4 月解决了这一缺陷,但此后一直受到广泛的 积极 利用。
Fortinet 表示,它在 2022 年 8 月观察到攻击,这些攻击试图利用该漏洞将Mirai 僵尸网络部署在 Linux 设备以及 RAR1Ransom 和GuardMiner(XMRig Monero 矿工的变体)上。
Mirai 样本是从远程服务器检索的,旨在通过使用默认凭据列表来发起针对知名物联网设备的拒绝服务 (DoS) 和暴力攻击。
另一方面,RAR1Ransom 和 GuardMiner 的分发是通过 PowerShell 或 shell 脚本实现的,具体取决于操作系统。RAR1ransom 还因利用合法的 WinRAR 实用程序将文件锁定在受密码保护的档案中而著称。
此外,GuardMiner 具有传播到其他主机的能力,可以利用其他软件中的许多远程代码执行漏洞,包括Apache Struts、Atlassian Confluence和Spring Cloud Gateway中的漏洞。
这些发现再次提醒人们,恶意软件活动继续积极利用最近披露的漏洞侵入未修补的系统,因此用户必须优先应用必要的安全更新来缓解此类威胁。
Emotet 僵尸网络分发自解锁受密码保护的 RAR 文件以删除恶意软件
臭名昭著的Emotet 僵尸网络与新一波恶意垃圾邮件活动有关,这些活动利用受密码保护的存档文件将 CoinMiner 和 Quasar RAT 投放到受感染的系统上。
在 Trustwave SpiderLabs 研究人员检测到的攻击链中,发现以发票为主题的 ZIP 文件诱饵包含一个嵌套的自解压 (SFX) 存档,第一个存档充当启动第二个存档的渠道。
虽然像这样的网络钓鱼攻击传统上需要说服目标打开附件,但网络安全公司表示,该活动通过使用批处理文件自动提供密码来解锁有效载荷,从而避开了这一障碍。
第一个 SFX 存档文件进一步使用PDF或Excel图标使其看起来合法,而实际上它包含三个组件:受密码保护的第二个SFX RAR文件,上述启动存档的批处理脚本,以及诱饵PDF或图像。
研究人员 Bernard Bautista 和 Diana Lopera在周四的一篇文章中说:“批处理文件的执行会导致安装潜伏在受密码保护的 RARsfx [自解压 RAR 存档] 中的恶意软件。”
批处理脚本通过指定存档的密码和将提取有效负载的目标文件夹来实现这一点,此外还启动了一个命令来显示诱饵文档以试图隐藏恶意活动。
最后,感染在执行 CoinMiner 时达到高潮,CoinMiner 是一种加密货币矿工,也可以兼作凭据窃取器,或Quasar RAT是一种基于开源 .NET 的远程访问木马,具体取决于存档中打包的有效负载。
一键式攻击技术也值得注意,因为它有效地跳过了密码障碍,使恶意行为者能够执行广泛的行动,例如加密劫持、数据泄露和勒索软件。
Trustwave 表示,它发现打包在受密码保护的 ZIP 文件中的威胁有所增加,其中约 96% 是由 Emotet 僵尸网络分发的。
研究人员说:“自解压档案已经存在了很长时间,并简化了最终用户之间的文件分发。” “但是,它会带来安全风险,因为文件内容不易验证,并且可以静默运行命令和可执行文件。”
在为 Aptos 区块链网络提供支持的 Move 虚拟机中报告的严重缺陷
研究人员披露了有关为 Aptos 区块链网络提供支持的 Move 虚拟机中现已修补的严重缺陷的详细信息。
位于新加坡的 Numen Cyber Labs在本月早些时候发表的一篇技术文章中表示,该漏洞“可能导致 Aptos 节点崩溃并导致拒绝服务” 。
Aptos 是区块链领域的新进入者,于2022年 10 月 17 日推出了主网。它起源于 Meta(née Facebook)提出的 Diem 稳定币支付系统,该系统还引入了一个名为Novi的短命数字钱包。
该网络使用与平台无关的编程语言Move构建,这是一种基于 Rust 的系统,旨在在安全的运行时环境中实施和执行智能合约,也称为 Move 虚拟机(又名MoveVM)。
Numen Cyber Labs 发现的漏洞源于 Move 语言的验证模块(“ stack_usage_verifier.rs ”),该组件在字节码指令在 MoveVM 中执行之前对其进行验证。
具体来说,它与基于堆栈的Web3 编程语言中的整数溢出漏洞有关,该漏洞可能导致未定义的行为并因此崩溃。
“由于此漏洞发生在 Move 执行模块中,对于链上的节点,如果执行字节码代码,将导致 [Denial-of-Service] 攻击,”网络安全公司解释说。
“严重的情况下,Aptos网络可以完全停止,这将造成无法估量的损失,并对节点的稳定性造成严重影响。”
ing Artifact Composition(也称为 GUAC)的新开源计划寻找贡献者,作为其加强软件供应链的持续努力的一部分。
谷歌的 Brandon Lum、Mihai Maruseac 和 Isaac Hepworth在与 The Hacker News 分享的一篇文章中表示: “GUAC 解决了整个生态系统中迅速发展的工作所产生的需求,以生成软件构建、安全和依赖元数据。”
“GUAC 旨在通过让每个组织(而不仅仅是拥有企业级安全和 IT 资金的组织)自由访问和有用,从而使这些安全信息的可用性民主化。”
软件供应链已成为威胁行为者有利可图的 攻击媒介,其中仅利用一个弱点(如SolarWinds和Log4Shell的案例所示)打开了一条足够长的路径,以遍历供应链并窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。
谷歌去年发布了一个名为SLSA(Supply chain Levels for Software Artifacts 的缩写)的框架,旨在确保软件包的完整性并防止未经授权的修改。
它还推出了安全记分卡的更新版本,该版本识别了第三方依赖项可能给项目带来的风险,允许开发人员就接受易受攻击的代码或考虑其他替代方案做出明智的决定。
去年8 月,谷歌进一步推出了一个漏洞赏金计划,以识别跨多个项目的安全漏洞,例如 Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。
GUAC 是该公司为加强供应链健康所做的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个“知识图”来实现这一点,该“知识图”可以回答有关供应链风险的问题。
支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等,以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。
“查询此图表可以推动更高级别的组织成果,例如审计、政策、风险管理,甚至开发人员协助,”谷歌表示。
换句话说,这个想法是将项目与其开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点联系起来。
因此,其目的不仅是使组织能够确定它们是否受到特定漏洞的影响,而且还可以估计供应链受到损害时的爆炸半径。
也就是说,谷歌似乎也意识到可能破坏 GUAC 的潜在威胁,包括系统被诱骗获取有关工件及其元数据的伪造信息的情况,它希望通过数据文档的加密验证来缓解这种情况。
“[GUAC] 旨在满足作为公共供应链和安全文件的监视器以及组织内部使用以查询有关他们使用的工件的信息的用例,”这家互联网巨头指出。
16个受Clicker恶意软件感染的Android应用程序下载量超过2000万次
多达 16 款累计下载量超过 2000 万的恶意应用程序在被发现犯有移动广告欺诈行为后,已从 Google Play 商店下架。
网络安全公司 McAfee表示,Clicker恶意软件伪装成看似无害的实用程序,如相机、货币/单位转换器、二维码阅读器、笔记应用程序和字典等,以诱骗用户下载它们。
高速相机 (com.hantor.CozyCamera) - 10,000,000+ 次下载
智能任务管理器 (com.james.SmartTaskManager) - 5,000,000+ 次下载
手电筒+ (kr.caramel.flash_plus) - 1,000,000+ 次下载
日历记事本 (com.smh.memocalendar) - 1,000,000+ 次下载
K-Dictionary (com.joysoft.wordBook) - 1,000,000+ 次下载
BusanBus (com.kmshack.BusanBus) - 1,000,000+ 次下载
手电筒+ (com.candlencom.candleprotest) - 500,000+ 次下载
快速笔记 (com.movinapp.quicknote) - 500,000+ 次下载
货币转换器 (com.smartwho.SmartCurrencyConverter) - 500,000+ 次下载
Joycode (com.joysoft.barcode) - 100,000+ 次下载
EzDica (com.joysoft.ezdica) - 100,000+ 次下载
Instagram Profile Downloader (com.schedulezero.instapp) - 100,000+ 次下载
Ez Notes (com.meek.tingboard) - 100,000+ 次下载
손전등 (com.candlencom.flashlite) - 1,000+ 次下载
计算器 (com.doubleline.calcul) - 100+ 次下载
手电筒+ (com.dev.imagevault) - 100+ 次下载
Clicker 应用程序一旦安装并启动,就会释放其欺诈功能,使恶意软件能够在受害者不知情的情况下秘密访问虚假网站并模拟广告点击。
McAfee 研究员 SangRyol Ryu 说:“这可能会导致网络流量过大,并在用户不知情的情况下消耗电力,同时为恶意软件背后的威胁行为者创造利润。”
为了进一步隐藏其真实动机,该应用程序考虑了该应用程序的安装时间,以便在下载该应用程序的前一小时内不会出现可疑活动。它还包含中间的随机延迟以保持在雷达之下。
两个月后,McAfee 发现了在 Google Play 商店中分发的十几个 Android 广告软件应用程序,这些应用程序包含一种名为HiddenAds的恶意软件,被发现可以在没有任何用户交互的情况下自动执行。
“Clicker 恶意软件以非法广告收入为目标,并可能破坏移动广告生态系统,”Ryu 说。“恶意行为被巧妙地隐藏起来,不被检测到。”
OldGremlin Ransomware 在数百万计划中针对十几个俄罗斯实体
在两年半的时间里,一个名为OldGremlin的俄语勒索软件组织被归咎于针对在这个跨大陆欧亚国家运营的实体的 16 次恶意活动。
“该集团的受害者包括物流、工业、保险、零售、房地产、软件开发和银行等行业的公司,”Group-IB在与 The Hacker News 分享的一份详尽报告中表示。“在 2020 年,该组织甚至针对一家武器制造商。”
在勒索软件领域中,OldGremlin(又名 TinyScouts)是少数几个主要针对俄罗斯公司的以经济为动机的网络犯罪团伙之一。
其他值得注意的群体包括 Dharma、Crylock 和 Thanos,导致 2021 年针对该国企业的勒索软件攻击增加了 200% 以上。
OldGremlin 于 2020 年 9 月首次曝光,这家总部位于新加坡的网络安全公司披露了该演员在 5 月至 8 月期间策划的九项活动。第一次攻击是在 2020 年 4 月上旬发现的。
据称,该组织在 2020 年总共进行了 10 次网络钓鱼电子邮件活动,随后在 2021 年进行了一次非常成功的攻击,在 2022 年又进行了五次攻击,赎金要求达到创纪录的 1690 万美元,并使该行为者净赚高达 3000 万美元在非法收入中。
“OldGremlin 彻底研究了他们的受害者,”Group-IB 解释道。“因此,要求的赎金通常与公司的规模和收入成正比,显然高于确保适当信息安全水平所需的预算。”
众所周知,OldGremlin 发起的攻击主要针对在 Windows 上运行的企业网络,它利用伪装成税务和法律服务公司的网络钓鱼电子邮件来欺骗受害者点击欺诈性链接并下载恶意文件,从而使攻击者能够在网络中蠕虫。
“威胁行为者通常伪装成知名公司,包括媒体集团 RBC、法律援助系统 Consultant Plus、1C-Bitrix 公司、俄罗斯工业家和企业家联盟以及明斯克拖拉机厂,”Group-IB 说。
在获得初步立足点后,OldGremlin 开始通过创建计划任务、使用 Cobalt Stroke 获得提升的权限,甚至 Cisco AnyConnect 中的缺陷(CVE-2020-3153和CVE-2020-3433)来建立持久性,同时还可以远程访问使用 TeamViewer 等工具破坏基础设施。
“大约 30% 的攻击允许 OldGremlin 获得初始访问权限并开始后期利用,”Group-IB 数字取证和事件响应团队负责人 Oleg Skulkin 告诉黑客新闻。“大约 10% 的威胁参与者能够在企业范围内部署勒索软件。”
使船员从其他勒索软件组织中脱颖而出的一些方面是,尽管窃取了数据,但它并不依赖双重勒索来强迫目标公司付款。还观察到每次成功攻击后都会长时间休息。
更重要的是,勒索软件部署之前的平均停留时间为 49 天,远高于报告的11 天中值停留时间,这表明部分参与者加大了检查被破坏域的力度(这是使用名为 TinyScout 的工具实现的) .
OldGremlin 最近的网络钓鱼浪潮发生在 2022 年 8 月 23 日,电子邮件嵌入了指向托管在 Dropbox 上的 ZIP 存档有效负载的链接,以激活杀伤链。
反过来,这些存档文件包含一个流氓 LNK 文件(称为 TinyLink),该文件会下载一个名为 TinyFluff 的后门,这是该组织使用的四个植入程序之一:TinyPosh、TinyNode 和 TinyShell,然后删除数据备份并删除 .基于 NET 的 TinyCrypt 勒索软件。
TinyPosh:一种 PowerShell 特洛伊木马,旨在收集有关受感染系统的敏感信息并将其传输到远程服务器,并启动其他 PowerShell 脚本。
TinyNode:运行 Node.js 解释器以执行通过 Tor 网络从命令和控制 (C2) 服务器接收到的命令的后门。
TinyFluff:TinyNode 的继任者,用作接收和运行恶意脚本的主要下载器。
OldGremlin 还使用了其他工具,例如 TinyShot,一个用于捕获屏幕截图的控制台实用程序,TinyKiller,它通过针对 gdrv.sys 和 RTCore64.sys 驱动程序的自带易受攻击的驱动程序 ( BYOVD ) 攻击杀死防病毒进程。
值得注意的是,最近还发现 BlackByte 勒索软件组背后的运营商利用 RTCore64.sys 驱动程序中的相同缺陷来关闭被黑客入侵机器中的安全解决方案。
OldGremlin 在其攻击中使用的另一个不寻常的应用程序是一个名为 TinyIsolator 的 .NET 控制台应用程序,它通过在执行勒索软件之前禁用网络适配器来暂时切断主机与网络的连接。
最重要的是,该组织的恶意软件库包括 Linux 版本的 TinyCrypt,它是用 Go 编程语言编写的,在删除 .bash_history 文件、更改用户密码以限制对受感染主机的访问以及禁用 SSH 后启动。
“OldGremlin 揭穿了勒索软件组织对俄罗斯公司漠不关心的神话,”Group-IB 动态恶意软件分析团队负责人 Ivan Pisarev 说。
“尽管到目前为止,OldGremlin 一直专注于俄罗斯,但在其他地方不应低估它们。许多讲俄语的团伙一开始就瞄准了后苏联地区的公司,然后转向其他地区。”
原文始发于微信公众号(河南等级保护测评):国外网络安全一周回顾20221024
评论