4月1日,星期五,您好!中科汇能与您分享信息安全快讯:
新推出的一款名为Mars Stealer的窃取信息恶意软件正日益流行,威胁分析人士现在发现了第一批使用该软件的著名大型活动。Mars Stealer是对Oski恶意软件的重新设计,该软件于2020年停止开发,具有针对广泛应用程序的广泛信息窃取功能。Mars Stealer在黑客论坛上以140美元到160美元的价格进行推广,其增长缓慢,直到最近,Raccoon Stealer的突然关闭迫使网络犯罪分子寻找替代品。Mars Stealer被大量新用户淹没,因为该服务的运行方式与浣熊过去的运行方式类似,它即将成为众多新活动的跳板。Morphisec发现的一个新的火星盗贼活动正在使用谷歌广告将克隆的OpenOffice网站在加拿大搜索结果中排名靠前。OpenOffice是现在流行于Apache基金会的一个曾经流行的开源办公套件,它已经被LyRealOffice超越,它在2010开始作为它的分支。然而,OpenOffice仍然可以从寻求免费文档和电子表格编辑器的用户那里获得可观的每日下载量。
一名黑客从Axie Infinity的Ronin网桥上窃取了价值近6.2亿美元的以太坊和USDC代币,这可能是历史上最大的加密黑客攻击。Ronin是Sky Mavis创建的以太坊侧链,用于促进Axie Infinity游戏的交易,桥接器充当以太坊和Ronin区块链之间传输ERC-20代币的方式。近日,Sky Mavis透露,一名威胁人员在两次交易中侵入了Ronin bridge,偷走了17.36万以太坊和2550万美元的USDC代币,按今天的价格计算,价值6.17亿美元。虽然Ronin侧链使用9个验证程序节点来确认交易,但威胁参与者能够控制从网桥中提取加密货币所需的5个验证程序签名。“Sky Mavis的Ronin链目前由9个验证程序节点组成。为了识别存款事件或取款事件,需要九个验证程序签名中的五个。攻击者成功控制了Sky Mavis的四个Ronin验证程序和Axie DAO运行的第三方验证程序,”Ronin网络的一条建议解释道。“验证器密钥方案设置为分散,以便它限制攻击向量,类似于此攻击,但攻击者通过我们的无气RPC节点发现了一个后门,它们被用来获得AXE-DAO验证器的签名。
乌克兰安全局(SSU)宣布,自与俄罗斯开战以来,它已经发现并关闭了五个机器人农场,其中有超过10万个虚假社交媒体账户传播虚假新闻。该网络在哈尔科夫、切尔卡西、特诺皮尔和扎卡尔帕蒂亚运营,目的是通过传播有关俄罗斯入侵和维权者身份的虚假信息来劝阻乌克兰公民,并引发恐慌。根据SSU的声明,该网络的目标是破坏各个地区的社会政治局势,从而遏制乌克兰民兵的抵抗。这次行动的原因是俄罗斯特种部队,他们的成员已经根据第110条(侵犯乌克兰领土完整和不可侵犯性)面临刑事诉讼,但SSU的公告中没有提到逮捕任何操作员。在过去的一个月里,由于该机构面临着越来越多的挑战,不得不将重点放在阻止军事入侵上,SSU的网站已多次长期处于离线状态。不过,值得注意和赞扬的是,乌克兰的网络机构至少在一定程度上仍在运作,并每天发布活动公告。
Verblecon恶意软件加载程序用于隐蔽的加密采矿攻击
安全研究人员警告说,有一种相对较新的恶意软件加载程序,他们将其跟踪为Verblecon,它对于rannsomware和erespionage攻击来说足够复杂和强大,尽管它目前用于低回报攻击。今年早些时候发现了Verblecon,由于代码的多态性,已知样本的检测率较低。该恶意软件基于Java,其多态性使其能够潜入受损系统,在许多情况下未被发现。研究人员分析的五个Verblecon样本表明,VirusTotal上的许多防病毒引擎并没有将它们标记为恶意。例如,最古老的样本在2021年10月16日被SyMtETEC发现之前添加到数据库中,目前在56个防病毒引擎中有九个被检测到。然而,从2022年1月底开始,VirusTotal上的防病毒引擎几乎完全错过了更新的Verblecon有效负载。
我自己的电话号码现在正在给我发垃圾邮件
近日,“我”收到一条非常明显的垃圾短信,给我一个“小礼物”,因为我本该支付电话账单。通常我会呻吟,翻白眼,然后迅速删除这样一条信息,但这条信息有点不同:它来自我自己的电话号码。正如我的iPhone所能告诉我的,这是我给自己的一条信息。窃听发送者的详细信息让我找到了自己的联系卡。同样令人沮丧的是,我没有显著的方式向我的运营商Verizon Wireless报告这起令人震惊的骗局。虚假的电话和短信并不是什么新鲜事;大多数人都会面临不断涌现的垃圾邮件,这些垃圾邮件出现在来电显示上,就像来自一个与自己号码相似的号码。但这是我第一次从自己的号码里得到东西。这些骗子越来越老练。由于这条短信显示来自“我”自己,它也成功地避开了苹果的“过滤未知信息”功能。那么我们能做些什么呢?除了提供各种垃圾邮件保护措施外,Verizon和其他美国运营商还鼓励客户将垃圾邮件文本转发给spam(7726)。不过,有些人可能会暂停“从”自己的号码报告垃圾邮件。
黑客通过虚假的“紧急数据请求”获得传票权
在美国,当联邦、州或地方执法机构希望获得有关谁拥有社交媒体公司账户的信息,或者某个特定手机账户过去使用过什么互联网地址的信息时,他们必须提交一份官方法庭命令的搜查令或传票。几乎所有为大量在线用户提供服务的大型科技公司都有部门定期审查和处理此类请求,只要提供了适当的文件,并且请求似乎来自与实际警察局域名相连的电子邮件地址,通常都会批准此类请求。但在某些情况下,例如涉及迫在眉睫的伤害或死亡案件,调查机构可能会提出所谓的紧急数据请求(EDR),这在很大程度上绕过了官方审查,不要求请求者提供任何法院批准的文件。现在很明显,一些黑客已经意识到,对于一家收到其中一个EDR的公司来说,要想知道它是否合法,并没有一个简单快捷的方法。通过非法访问警方的电子邮件系统,黑客将发送一份伪造的EDR,并附上一份证明,除非立即提供所需数据,否则无辜者可能会遭受巨大痛苦。
Shutterfly 因遭Conti 勒索软件攻击后被泄露数据
近期,在线零售和摄影制造平台Shutterfly在遭遇Conti勒索软件攻击后被泄露了员工信息。这是一家为客户、企业,甚至包括为Shutterfly.com、BorrowLenses、GrooveBook、Snapfish 和 Lifetouch在内的品牌提供摄影服务的公司。Shutterfly最近披露由于勒索软件攻击,其网络于2021年12月3日遭到入侵。在勒索软件攻击期间,威胁参与者会获得对公司网络的访问权,并窃取相应的文件和数据。一旦他们获得对Windows域控制器的访问权,并在收集到所有有价值的数据后,他们就会部署勒索软件来加密所有网络设备。根据Shutterfly的回应,Conti威胁参与者于2021年12月13日部署了勒索软件,这也是该公司第一次意识到它们已被入侵。“攻击者锁定了我们的一些系统并访问了这些系统上的一些数据。这包括访问某些人的个人信息,这里头也许就有你的。”而被盗的文件可能包含员工的个人信息,比如姓名、工资和薪酬信息,以及FMLA休假或工人赔偿要求。不过,对于该事件,Shutterfly也及时做了相应的补救措施,他们会为受影响的人提供Equifax的两年免费信用监控。
部分 WordPress 网站被注入脚本,对乌克兰发起 DDoS 攻击
据其他网站披露,黑客入侵了一些 WordPress 网站,通过注入恶意脚本,利用网站访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击(DDoS)。最初,MalwareHunter Team 的研究人员在一个被入侵的 WordPress 网站上察觉到了该恶意脚本,详细分析后发现,当用户访问被入侵网站时,脚本对十个乌克兰网站发起了分布式拒绝服务攻击。被攻击的网站主要包括乌克兰政府机构、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰网站。
Spring 是一个支持快速开发 Java EE 应用程序的框架。它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成,可以说是开发 Java EE 应用程序的必备。近日,某安全团队监测到一则 Spring Framework 组件存在远程代码执行漏洞的信息,漏洞威胁等级:严重。该漏洞是由于 Spring Framework 未对传输的数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。当前 Spring Framework 官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://github.com/spring-projects/spring-framework/tags
速修复!这个严重的Zlib内存损坏漏洞已存在17年!
有研究员在开源软件安全邮件列表中对CVE-2018-25032发出警报,他在定位压缩工具崩溃时发现了该漏洞。他指出,“我向上游报告,但结果发现该漏洞早在2018年就已经存在但一直没有发布补丁。就我所知,没有人为此分配CVE编号。”而且,当2018年4月Eideticom 公司的研究员 Danilo Ramos 报道该漏洞时,它已存在13年之久,意味着17年来该漏洞一直存在且一直在等待潜在exploit。修复方案从未进入 Zlib 软件更新。本月报告该漏洞几天后,Ormandy 展示了针对该库支持的默认和非默认压缩策略的PoC exploit。这意味着在尝试解压时,通过恶意构造的压缩数据的应用程序或网络服务可能会崩溃。简言之,它是一个内存损坏缺陷:如果用户提供的数据是特殊构造的,那么通过界外写,依赖于zlib 压缩这类数据的软件可崩溃终止。比如,根据受用户控制数据使用方式的不同,某些备份运营和日志记录可能会异常停止。该漏洞的CVSS 评分为7.5,属于高危级别。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE Symantec 白帽汇安全研究院 安全帮
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):Spring Framework远程代码执行漏洞CVE-2022-22965
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论