勒索软件集团正在滥用未打补丁的基于Linux的Mitel VoIP(网络电话)应用程序,并将其作为跳板在目标系统上植入恶意软件。这个关键的远程代码执行(RCE)漏洞被追踪为CVE-2022-29499...
银行木马绕过google play的App scanner扫描认证
谷歌应用商店Google Play针对恶意软件的第一道防线已经被恶意攻击者攻破,这些攻击者将一款叫做“Black Jack Free”的恶意应用程序偷偷放到了谷歌官方应用商店中。该恶意应用程序被Loo...
警惕手机钓鱼网站植入木马(上)
AVL移动安全团队近期发现一个手机钓鱼wap站点,其伪装成移动掌上营业厅,诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用。 这个wap钓鱼站点和移动掌上营业厅几乎一模一样,...
URLMon应用实践(2):移花接木,URL重定向(跳转)的自动化检测
1 系 统 概 况 &nb...
密码重置测试小结
前言 实现密码重置功能的常见方法:发送带有唯一 URL 的电子邮件以重置密码2.使用临时密码或当前密码发送的电子邮件 3.询问私密问题,然后提供重置密码的选项4.使用 OTP(一次性密码)或...
谷歌研究称:2022 年的零日漏洞有一半是先前漏洞的变种
Google Project Zero 在 2022 年上半年共观察到 18 个被利用的零日漏洞,其中至少有一半存在,因为之前的漏洞没有得到妥善解决。根据 Google Project Zero 研究...
数亿网民受影响,OpenSSL又被爆高危漏洞
关键词CNNVD、OpenSSL 近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此...
Quantum Ransomware
文章前言在我们之前观察到的速度最快的勒索案例之一中,在不到四个小时的时间里攻击者就从初始访问变成了域范围内的勒索,而且该初始访问向量是通过电子邮件传递的IcedID有效负载,我们已经观察到IcedID...
一份假Offer如何盗走了「Axie infinity」5.4亿美元?
原文:How a fake job offer took down the world’s most popular crypto game (The Block)作者:Ryan Weeks编译:Ka...
企业安全建设实践路程思考
在信息安全管理体系方面,有适用比较广的ISO27001标准簇,也有国标的网络安全等级保护制度,实践落地不是照搬,不与之作比较,侧重对实际繁琐工作实践进行提炼,备忘出具有普遍意义的方法论,参考行业标准化...
知己知彼,百战不殆,网络安全漏洞早知道
“政府、企事业单位内部数据具有较高的机密性和敏感性,极其容易招致网络恶意攻击。政企领域数据一旦泄露将会导致巨额损失,造成的影响不容小觑。近年,随着数字化转型的理念深植于各领域,业务联网上云加速,针对云...
安全配置管理(SCM)的价值与应用
点击蓝字关注我们安全配置管理(SCM)已经成为现代企业组织开展网络安全建设的重要基础工作,是各种安全能力有效运营的基础,缺少它一切只是空中楼阁。SANS 研究所和互联网安全中心建议,当企业全面梳理IT...
261