01.
重点数据泄露事件
FEI Systems消费者敏感信息数据泄露
泄露时间:2024-05-14
泄露内容:FEI Systems是一家商业服务公司,黑客入侵FEI Systems的网络,该事件导致消费者的敏感信息泄露,其中包括姓名、社会安全号码、健康保险信息和出生日期。
泄露数据量:未公布
关联行业:医疗
地区:美国
桑坦德银行数据泄露
泄露时间:2024-05-14
泄露内容:桑坦德银行由外部提供商托管的数据库中的一些客户和员工数据被未经授权访问,但该银行自己的运营和系统并未受到影响。这些数据来自西班牙、智利和乌拉圭的客户,以及所有现任和部分前任员工。报告称,数据库中没有存储任何交易数据,也没有任何允许执行交易的凭证。
泄露数据量:未公布
关联行业:金融
地区:西班牙
Singing River卫生系统数据泄露
泄露时间:2024-05-14
泄露内容:Singing River Health System是密西西比州的一家主要医疗保健提供者,由于其遭到复杂的勒索软件攻击,导致医院运营中断并可能产生数据窃取。暴露的数据包括:全名,出生日期,实际地址,社会安全号码(SSN),医疗信息,健康资讯等信息。
泄露数据量:89万
关联行业:医疗
地区:美国
MediSecure电子脚本公司数据泄露
泄露时间:2024-05-16
泄露内容:澳大利亚电子处方提供商MediSecure在遭受来自第三方供应商的勒索软件攻击后关闭了其网站和电话线路。该事件泄露内容包括个人身份信息、联系方式和医疗保健数据。
泄露数据量:970万
关联行业:医疗
地区:澳大利亚
02.
热点资讯
FBI再次查封BreachForums,敦促用户举报违法犯罪活动
执法机构一年内第二次控制了臭名昭著的BreachForums平台,这是一个以兜售被盗数据而闻名的在线集市。该网站(“breachforums[.]st”)已被扣押横幅取代,表明Clearnet网络犯罪论坛受美国联邦调查局(FBI)的控制。FBI还控制了Baphomet运营的Telegram频道,Baphomet在其前任ConorBrianFitzpatrick(又名pompompurin)去年3月被捕后成为该论坛的管理员。值得注意的是,BreachForums的前一个版本由pompompurin托管,由pompompurin管理,并于2023年6月下旬被执法部门查获。
消息来源:
https://thehackernews.com/2024/05/fbi-seizes-breachforums-again-urges.html
Metro网站因网络攻击瘫痪两个小时
Metro上周遭遇网络攻击,导致其主要网站瘫痪数小时。晚上7:51的一条推文称,Metro网站WMATA.com暂时关闭。Metro当时正在遭受网络攻击。大约两个小时后,网站才完全恢复。Metro表示客户或员工数据都没有受到损害,wmata.com也没有遭到破坏,服务(包括SmarTrip应用程序和移动交易)也没有受到影响。
消息来源:
https://www.nbcwashington.com/news/local/transportation/a-cyberattack-took-down-metros-website-for-two-hours-heres-what-a-cybersecurity-expert-says/3616048/
44%的网络安全专业人员在监管合规方面遇到困难
InfosecurityEurope的研究发现,由于网络安全立法的复杂性和耗时性,大约一半(44%)的网络安全专业人员难以遵守网络安全立法。这项针对200名IT安全决策者的调查分析了对12项现行或即将实施的网络安全相关法规的看法,其中包括美国《萨班斯-奥克斯利法案》(SOX)和欧盟的NIS2指令。41%的受访者认为SOX等法规“非常复杂”,难以遵守。此外,四分之三的人表示英国的数据保护法(DPA)、NIS/NIS2和欧盟网络安全法“有些复杂”。仅通过SOX和欧盟网络安全法案,超过50%的组织实现了完全合规,这突显了日益增长的监管义务所面临的困难,只有0.50%的受访者表示这12条法规中没有一条适用于他们的组织。
消息来源:
https://www.infosecurity-magazine.com/news/cyber-pros-struggle-regulatory/
03.
热点技术
Windows Quick Assist在BlackBasta勒索软件攻击中被滥用
出于经济动机的网络犯罪分子在社会工程攻击中滥用WindowsQuickAssist功能,在受害者的网络上部署BlackBasta勒索软件负载。微软至少从2024年4月中旬开始就一直在调查这一活动,正如他们所观察到的,威胁组织(追踪为Storm-1811)在将其地址订阅到各种电子邮件订阅服务后,通过电子邮件轰炸目标,攻击者通过启动QuickAssist内置远程控制和屏幕共享工具,诱骗受害者授予其Windows设备访问权限。微软表示:“一旦用户允许访问和控制,威胁行为者就会运行脚本化的cURL命令来下载一系列用于传递恶意负载的批处理文件或ZIP文件。在一些情况下,微软威胁情报发现此类活动会导致下载Qakbot、ScreenConnect和NetSupportManager等RMM工具以及CobaltStrike。”安装恶意工具并结束通话后,Storm-1811会执行域枚举,在受害者网络中横向移动,并使用WindowsPsExectelnet替换工具部署BlackBasta勒索软件。
消息来源:
https://www.bleepingcomputer.com/news/security/windows-quick-assist-abused-in-black-basta-ransomware-attacks/
PDF利用的目标是Foxit Reader用户
网络安全研究人员揭示了PDF攻击的一个令人担忧的趋势,特别是针对福昕阅读器的用户,其在全球拥有超过7亿用户,包括政府和技术领域的主要客户。福昕阅读器设计中存在一个缺陷,即向用户提供的默认选项可能会无意中导致恶意命令的执行,当用户在没有完全理解相关风险的情况下同意这些默认选项时就会被利用,这凸显了有缺陷的软件设计与常见人类行为的交叉点。
消息来源:
https://www.infosecurity-magazine.com/news/pdf-exploitation-targets-foxit/
Android即将推出基于人工智能的诈骗电话检测功能
谷歌正在研究新的保护措施,以帮助防止Android用户成为电话诈骗的受害者。在周二的I/O开发者大会上,谷歌宣布正在测试一项新的通话监控功能,该功能将在用户正在通话的人可能试图诈骗他们时向用户发出警告,并鼓励他们结束此类通话。谷歌表示,该功能利用GeminiNano(该公司适用于Android设备的Gemini大语言模型的简化版本,可以本地和离线运行)来查找欺诈性语言和其他与诈骗相关的对话模式。据谷歌称,这些新的保护措施完全在设备上,因此GeminiNano监控的对话将保持私密性。
消息来源:
https://www.theverge.com/2024/5/14/24156212/google-android-ai-gemini-scam-call-detection-feature-io
MITRE推出EMB3D:嵌入式设备威胁建模框架
MITRE公司已正式为关键基础设施环境中使用的嵌入式设备制造商提供了名为EMB3D的新威胁建模框架。该非营利组织在宣布此举的帖子中表示:该模型提供了嵌入式设备网络威胁的丰富知识库,提供了对这些威胁的共同理解以及缓解这些威胁所需的安全机制。该模型的草稿版本是RedBalloonSecurity和NarfIndustries合作构思的,此前已于2023年12月13日发布。
消息来源:
https://thehackernews.com/2024/05/mitre-unveils-emb3d-threat-modeling.html
苹果和谷歌向iOS、Android添加未知蓝牙跟踪器警报
苹果和谷歌联合宣布了一项新的隐私功能,当Android和iOS用户携带未知的蓝牙跟踪设备时,该功能会向用户发出警告。这项新功能名为“检测不需要的位置跟踪器”,昨天开始在Apple设备上推出,作为iOS17.5的一部分,并在Android6.0+设备上向Google用户推出。这项新功能于2023年5月宣布,当时两家公司透露他们正在共同制定一份名为“检测不需要的位置跟踪器”的联合草案规范,联合声明中写道:“苹果和谷歌共同为蓝牙跟踪设备创建了一个行业规范——检测不需要的位置跟踪器,如果此类设备在不知不觉中被用来跟踪他们,它可以向iOS和Android上的用户发出警报。”
消息来源:
https://www.bleepingcomputer.com/news/security/apple-and-google-add-alerts-for-unknown-bluetooth-trackers-to-ios-android/
04.
热点漏洞
Chrome零日漏洞
Google Chrome是一款由Google公司开发的网页浏览器。该浏览器基于其他开源软件(如WebKit)撰写,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。高严重性零日漏洞(CVE-2024-4947)是由卡巴斯基的Vasily Berdnikov和Boris Larin报告的Chrome V8 JavaScript引擎中的类型混淆漏洞引起的。
影响版本:
Mac/WindowsChrome<125.0.6422.60/.61
LinuxChrome<125.0.6422.60
Chrome零日漏洞CVE-2024-4761
Chrome网络浏览器中存在一个新的零日漏洞.漏洞编号为:CVE-2024-4761,是一个影响V8 Java Script和Web Assembly引擎的越界写入错误。该消息于2024年5月9日匿名报道。越界写入错误通常可能被恶意行为者利用来破坏数据、引发崩溃或在受感染的主机上执行任意代码。CVE-2024-4671是Visuals组件中的一个释放后使用漏洞,该漏洞也已在现实世界的攻击中被利用。
影响版本:
Mac/Windows Chrome<124.0.6367.207/.208
LinuxChrome<124.0.6367.207
Cacti多个安全漏洞
Cacti是一款开源网络监控和故障管理框架,其维护者已经解决了十几个安全漏洞,其中包括两个可能导致执行任意代码的关键问题。漏洞编号为:CVE-2024-25641(CVSS评分:9.1)-“包导入”功能中存在任意文件写入漏洞,允许具有“导入模板”权限的经过身份验证的用户在Web服务器上执行任意PHP代码,从而导致远程代码执行。另一个漏洞编号为:CVE-2024-29895 (CVSS评分:10.0)-当PHP的“register_argc_argv”选项打开时,命令注入漏洞允许任何未经身份验证的用户在服务器上执行任意命令。
影响版本:
影响Cacti的所有版本,包括1.2.26及之前的版本
DIR-X4860远程命令执行漏洞
Link EXO AX4800(DIR-X4860)路由器容易受到未经身份验证的远程命令执行的攻击,这可能导致有权访问HNAP端口的攻击者完全接管设备。攻击首先向路由器的管理界面发出特制的HNAP登录请求,其中包括设置为“用户名”的名为“PrivateLogin”的参数和用户名“Admin”。路由器以质询、cookie和公钥进行响应,这些值用于为“Admin”帐户生成有效的登录密码。带有HNAP_AUTH标头和生成的LoginPassword的后续登录请求将发送到目标设备。通过经过身份验证的访问,攻击者通过特制请求利用“SetVirtualServerSettings”函数中的命令注入漏洞。易受攻击的“SetVirtualServerSettings”函数在没有适当清理的情况下处理“LocalIPAddress”参数,从而允许注入的命令在路由器操作系统的上下文中执行。
影响版本:
DIR-X4860<dirx4860a1_fwv1.04b03< span="">
VMware工作站和融合产品中的严重安全漏洞
CVE-2024-22267-蓝牙设备中的释放后使用漏洞,具有虚拟机本地管理权限的恶意攻击者可以利用该漏洞在虚拟机的VMX进程运行时执行代码注入。CVE-2024-22268(CVSS评分:7.1)-Shader功能中的堆缓冲区溢出漏洞,对启用了3D图形的虚拟机具有非管理访问权限的恶意行为者可能会利用该漏洞来创建DoS条件。CVE-2024-22269(CVSS评分:7.1)-蓝牙设备中的信息泄露漏洞,具有虚拟机本地管理权限的恶意攻击者可利用该漏洞从虚拟机读取虚拟机管理程序内存中包含的特权信息。CVE-2024-22270(CVSS评分:7.1)-主机来宾文件共享(HGFS)功能中存在信息泄露漏洞,具有虚拟机本地管理权限的恶意攻击者可利用该漏洞读取虚拟机管理程序内存中包含的特权信息从虚拟机作为部署补丁之前的临时解决方法,建议用户关闭虚拟机上的蓝牙支持并禁用3D加速功能。除了更新到最新版本之外,没有任何缓解措施可以解决CVE-2024-22270。
影响版本:
Vmware Workstation 17.x
Vmware Fusion版本13.x
Safari网络浏览器中存在零日漏洞
Apple发布了安全更新,以修复今年Pwn2Own温哥华黑客竞赛中被利用的Safari网络浏览器中的零日漏洞。该公司通过改进的检查解决了运行macOS Monterey和macOS Ventura的系统上的安全漏洞,漏洞编号为:CVE-2024-27834,安全研究人员将其与整数下溢漏洞链接起来以获得远程代码执行(RCE)权限。
影响版本:
Safari<17.5
05.
攻击情报
本周部分重点攻击来源及攻击参数如下表所示,建议将以下IP加入安全设备进行持续跟踪监控。
请注意:以上均为监测到的情报数据,盛邦安全不做真实性判断与检测
原文始发于微信公众号(盛邦安全应急响应中心):烽火狼烟丨暗网数据及攻击威胁情报分析周报(05/13-05/17)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论