11月8日,星期五 ,您好!中科汇能与您分享信息安全快讯:
01
加拿大警方逮捕一名黑客 其涉嫌盗取165家公司数据
2024年10月5日,据彭博社和404Media报道,加拿大当局逮捕了一名涉嫌利用Snowflake云存储服务盗窃约165家公司信息的男子。
加拿大司法部向404Media确认,应美国政府的要求,于10月30日逮捕了Alexander“Connor”Moucka。发言人称:他当天晚些时候出庭,案件被延期至11月5日。
今年5月,Ticketmaster母公司LiveNation披露,该公司遭受了大规模数据泄露,疑似客户信息被挂在黑客论坛上出售。然而,这只是众多数据泄露事件中的第一起,其他与Snowflake相关的公司,包括AT&T、桑坦德银行、Advanced Auto Parts和Lending Tree子公司Quote Wizard,随后也披露了影响数百万客户的安全事件。
由于被盗信息量巨大,此次泄密事件在全球引起恐慌。AT&T黑客窃取了超过1亿客户的通话和短信记录。Ticketmaster泄密事件涉及约5.6亿用户。
02
谷歌在Gemini对话AI机器人中增加盲文本水印 可以用来检测内容由AI生成
基于人工智能的对话机器人正在快速渗透到我们的生活中,由于不合适的利用导致的问题也非常多,例如学生使用 AI 机器人写作业或撰写论文。
针对这类问题此前 OpenAI 就尝试开发文本分类器用来检测内容是否是由 ChatGPT 生成的,但因为检测成功率太低最终 OpenAI 放弃了。
现在谷歌宣布在 Gemini 机器人中添加用户不可见的盲水印,这种盲水印本质上是一种算法,利用算法将特定字词嵌入到文本中,用户虽然看不出来但检测器可以根据算法识别出来。
这个系统的名称叫做 SynthID-Text,谷歌称已经将该系统集成到 Gemini 机器人中,同时谷歌还开源了这个系统供开发者和企业快速检测特定文本内容是否来自他们的大型语言模型。
03
强化云服务安全,Google Cloud将分阶段实施强制MFA认证
Google Cloud近日宣布将分三个阶段推行强制性多因素认证(MFA)要求,计划于2025年底前覆盖所有用户。这一决策是在身份认证相关攻击持续上升的背景下做出的,紧随AWS和微软等其他云服务供应商的类似举措。
Google Cloud工程副总裁Mayank Upadhyay表示:第一阶段将于本月启动,主要聚焦于提高用户意识,通过发送通知和信息帮助用户规划部署和测试。第二阶段将于明年初开始,届时Google将对密码登录实施MFA要求。用户如需继续使用Google Cloud Console、Firebase Console和GCloud等工具,必须启用MFA。最后阶段计划于2025年底完成,届时所有使用联合身份认证访问Google Cloud的用户都需要启用MFA。
据Upadhyay透露,目前已有70%的Google用户在使用MFA保护账户。虽然Google早在2021年就为普通用户账户默认启用了两步验证(2SV),但考虑到云服务的敏感性质,以及Mandiant威胁情报团队观察到钓鱼和凭证窃取仍是主要攻击方式,强制推行MFA势在必行。
04
警惕"ClickFix"新型钓鱼攻击,利用虚假错误消息实施跨平台攻击
安全研究机构Sekoia威胁检测与研究(TDR)团队近日详细披露了一种名为ClickFix的新型社会工程学攻击手法。该攻击技术通过使用虚假的错误消息诱导用户执行恶意PowerShell命令,从而感染用户设备。
研究发现,ClickFix主要针对Google Meet和Zoom等视频会议平台,通过模仿平台的错误通知来欺骗用户。当用户试图修复这些"错误"时,会触发一系列命令,导致恶意软件被下载到设备中。除了视频平台外,攻击者还利用虚假的CAPTCHA页面诱导用户完成一些步骤。这些步骤会激活恶意代码,同时影响Windows和macOS系统。
ClickFix针对不同操作系统采用了不同的感染链。在macOS系统上,当用户点击"修复"提示时,会被引导完成一系列步骤。而在Windows系统上,ClickFix则根据不同的感染集群使用恶意mshta或PowerShell命令。这些Windows系统上的感染往往伪装成故障排除操作,并被伪装成来自合法的Explorer.exe进程,这使得恶意软件更难被检测。
05
保险管理公司遭黑客攻击 80余万客户个人信息遭泄露
日前,第三方保险管理公司 Landmark Admin 确认,2024年5月发生的勒索软件攻击导致了近百万客户的数据泄露。
Landmark 是总部位于德克萨斯州布朗伍德的第三方管理公司(TPA),代管其他公司的人寿保险和年金业务。该公司在其网站上发布的数据泄露公告中表示,于2024年5月13日发现其系统出现可疑活动,随即断开了受影响的系统,并聘请外部网络取证专家进行调查并保护公司的计算基础设施。
初步调查结果显示,攻击者访问了一些包含客户敏感信息的 Landmark 文件。Landmark 确定,该事件发生于2024年5月13日至6月17日期间,攻击者窃取并加密了数据。由于Landmark 无法立即确定攻击者窃取了哪些客户信息,因此在外部取证协助下继续调查此事件。
06
罗克韦尔自动化管理软件曝严重漏洞,工控系统面临DDoS攻击风险
Tenable Network Security的网络安全研究人员近日在罗克韦尔自动化的FactoryTalk ThinManager软件中发现多个严重漏洞。该软件是工业控制系统中的重要组件,这些漏洞可能允许攻击者操纵数据库或触发拒绝服务(DoS)攻击,对工业环境构成重大威胁。
这两个漏洞分别被追踪为CVE-2024-10386和CVE-2024-10387,影响ThinManager 11.2.0至14.0.0版本。其中,CVE-2024-10386被归类为"关键功能缺失身份验证"(CWE-306)漏洞,允许具有网络访问权限的攻击者向ThinManager设备发送特制消息,可能导致未经授权的数据库操作。
CVE-2024-10387则涉及"越界读取"(CWE-125)问题,攻击者可通过网络发送特制消息来中断ThinManager的运行。该漏洞的CVSS v3.1基础评分为7.5,CVSS v4评分为8.7,同样具有较高的危险等级。
为应对这些安全威胁,罗克韦尔自动化发布了相关补丁并提出多项建议:用户应及时升级到已修复的最新版本ThinManager;建议限制TCP端口2031的通信,仅允许需要连接ThinManager的设备访问,以减少潜在攻击面;建议实施全面的安全措施并遵循罗克韦尔自动化的安全指南。
07
Ollama AI框架被曝严重漏洞,可导致DoS、模型盗窃和中毒
网络安全研究人员近日披露了Ollama人工智能(AI)框架中的六个安全漏洞,这些漏洞可能被恶意行为者利用,执行包括拒绝服务(DoS)、模型污染和模型盗窃在内的多种恶意行为。
“总的来说,这些漏洞允许攻击者通过单个HTTP请求执行一系列恶意行为,包括拒绝服务(DoS)攻击、模型污染、模型盗窃等。”Oligo Security研究员Avi Lumelsky在上周发布的报告中表示。
Ollama是一个开源应用程序,允许用户在Windows、Linux和macOS设备上本地部署和操作大型语言模型(LLM)。其在GitHub的项目仓库至今已被复制7600次。
08
VEILDrive 攻击利用微软服务逃避检测并传播恶意软件
据观察,一个名为 VEILDrive 的持续威胁活动利用微软的合法服务(包括 Teams、SharePoint、Quick Assist 和 OneDrive)作为其作案手法的一部分。
以色列网络安全公司Hunters在一份新报告中称:“利用微软的SaaS服务(包括Teams、SharePoint、Quick Assist和OneDrive),攻击者利用之前被入侵组织的可信基础设施来发布鱼叉式网络钓鱼攻击和存储恶意软件。”
“这种以云为中心的策略使威胁行为者得以避开传统监控系统的检测。”
Hunters 称,204 年 9 月,该公司在应对一起针对美国关键基础设施组织的网络事件后发现了这一活动。它没有透露这家公司的名称,而是将其命名为 “Org C”。据信,该活动在一个月前开始,攻击最终导致部署了基于 Java 的恶意软件,该恶意软件使用 OneDrive 进行命令和控制 (C2)。幕后的威胁行为者冒充 IT 团队成员向 C机关的四名员工发送了团队信息,并请求通过快速协助工具远程访问他们的系统。
这种最初的入侵方法之所以引人注目,是因为攻击者利用了属于先前潜在受害者(机关 A)的用户账户,而不是为此创建一个新账户。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):罗克韦尔自动化管理软件曝严重漏洞,工控系统面临DDoS攻击风险
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论