1月24日,星期五,您好!中科汇能与您分享信息安全快讯:
01
一前中情局分析员承认泄露机密文件
近日,美国司法部透露,一名前中情局分析员承认在社交媒体上分享机密文件,并试图销毁个人设备掩盖犯罪行为。34岁的维也纳人Asif William Rahman在上周五对两项"故意保留和传播与国防相关的机密信息"罪名认罪,最高可被判处10年有期徒刑。
Rahman自2016年起在中情局任职。据司法部透露,他"多次"访问和打印机密文件,并将文件带回家中进行修改,试图掩盖文件来源。有报道称,其中包括两份有关以色列在伊朗10月1日发射大规模导弹后军事反击计划的绝密文件。这些文件在社交媒体上被公开,令五角大楼颜面尽失,因为它们显示美国在中东地缘政治紧张时期,对盟友进行了间谍活动。
拉赫曼打印了这些文件,第二天文件便在社交媒体上流传开来。为掩盖行为,他采取了大量措施,包括删除和编辑曾发布的内容、草拟"日志"编造虚假叙述,并销毁了包括个人手机和用于上传文件的网络路由器在内的多台电子设备。
02
研究人员揭秘APT组织Ghostwriter 的基础设施
近日,多家网络安全公司的研究人员联合揭露了高级持续威胁组织Ghostwriter 用于发动网络攻击的基础设施细节,旨在更好地防范这一主要针对乌克兰和其他东欧国家的网络间谍和虚假信息活动。
Ghostwriter 又称UNC1151和UAC-0057,自2016年以来一直活跃,主要从事网络间谍和虚假信息运作。来自 Fortinet、Cyble、Deep Instinct 和乌克兰计算机应急响应小组 (CERT-UA) 的研究人员通过分析多起攻击活动中的攻击痕迹,共同勾勒出Ghostwriter 的基础设施轮廓。
研究人员发现,该组织在注册和托管域名时存在一定规律,经常使用".shop"顶级域名,通过PublicDomainRegistry注册商注册,并使用Cloudflare的域名服务器。这一规律帮助研究人员将之前看似无关的域名与Ghostwriter 的活动联系起来。通过对域名"goudieelectric.shop"等的深入分析,研究人员发现至少24个可能与该APT组织有关的域名,包括backstagemerch.shop、bryndonovan.shop、chaptercheats.shop等。Ghostwriter 的攻击手法通常是通过钓鱼邮件传播含有恶意宏的XLS文档,文档运行后从上述域名下载恶意DLL文件,最终部署Cobalt Strike木马,进一步控制受害者网络。
03
数据库缺乏加密保护,缴费平台Willow Pays泄露逾24万条记录
近日,的网络安全研究员Jeremiah Fowler最近发现并报告了一个公开可访问的数据库,该数据库缺乏密码保护和加密,涵盖金融科技缴费软件公司Willow Pays逾24万条记录的敏感信息。
Willow Pays是一项允许用户将账单和其他费用在四周内分期支付的服务。用户上传账单和个人信息后,Willow Pays会审批或拒绝申请,并协助付款。根据Fowler发布的调查报告,这个公开暴露的数据库包含241,970条记录,其中涵盖"账单、邮件列表、账户不一致、还款计划、屏幕截图、设置和快照"等内容。记录中包括姓名、电子邮件地址、信用额度和其他内部信息,一份单独的电子表格文件就包含了约56,864名可能是活跃客户、潜在客户或被封禁账户的个人详细信息。
目前尚不清楚实际数据泄露的范围,但Fowler认为,暴露的信息可能会被犯罪分子利用,包括利用真实的计费数据实施网络钓鱼攻击欺骗用户,或使用这些信息获取其他账户的未经授权访问权限。Fowler已向Willow Pays发送了负责任披露通知,该公司随即限制了该数据库的公开访问权限。
04
黑客利用合法软件投递 ValleyRAT 恶意载荷,专门攻击华语组织
Intezer Labs 近日发现了一起针对包括我国在内的不同地区华语组织的复杂网络攻击活动。攻击者利用一种被称为 PNGPlug 的多阶段加载程序,投递臭名昭著的 ValleyRAT 恶意程序。
这起攻击始于一个钓鱼网页,诱使受害者下载伪装成合法软件的恶意 Microsoft 安装程序(MSI)包。MSI 包在执行时执行两项关键任务:部署一个良性应用程序以维持合法性假象;提取包含恶意载荷的加密压缩包。
MSI 包利用 Windows Installer 的CustomAction 功能执行恶意代码,包括一个使用硬编码密码解密压缩包的 DLL 。这一过程提取了恶意程序核心组件,包括一个加载程序(libcef.dll)和两个包含编码恶意载荷的 PNG 文件。
作为攻击关键组件的 PNGPlug 加载程序,通过多种复杂技术为恶意程序执行准备环境。它修补 ntdll.dll 实现内存注入,并执行反病毒检测,特别检查是否存在 360 安全卫士。如果没有该软件,加载程序会将 PNG 文件内容注入新创建的进程中,执行 ValleyRAT 恶意程序。
此次活动还暴露了被攻击组织内部的潜在运营缺陷,尤其是一些大公司缺乏对员工工具的投资,导致员工不得不依赖免费软件,无意中增加了遭受此类恶意活动的风险。
05
新型网络诈骗假远程"安全审计"之名利用AnyDesk获取目标计算机访问权限
乌克兰计算机应急响应小组(CERT-UA)近日警告,有攻击者伪装成该机构,通过AnyDesk远程访问软件发送连接请求,谎称需要进行"安全审计以验证保护级别",试图获取目标计算机访问权限。
这些未经身份识别的个人在发送连接请求时,使用了"CERT.UA"的名称、标志,以及可变的AnyDesk ID,明显是再次诉诸于基于信任和权威的社会工程学手段。CERT-UA推测,攻击者可能是在入侵了其他曾授权远程访问的计算机后,获取了目标的AnyDesk ID。
为发送连接请求,攻击者必须知道目标的AnyDesk ID,且目标设备上必须运行该软件。乌克兰国家CERT一直在使用各种远程访问工具帮助用户应对网络事件,但此类干预措施事先都会通过预先批准的沟通渠道进行商定。因此,任何突然收到的连接请求都应引起怀疑。
CERT-UA呼吁,无论是政府工作人员、公司员工还是个人用户,如果收到此类请求,都应当向相关网络保护单位或CERT-UA报告。
06
软件供应商Otelier遭黑客入侵,50万酒店客户信息遭泄露
近日,酒店管理软件供应商Otelier遭到黑客攻击,导致包括万豪、希尔顿和凯悦等知名酒店品牌的客户个人信息遭到泄露。
违规通知网站HaveIBeenPwned(HIBP)透露,一名黑客似乎在2024年获取了Otelier系统的未经授权访问权限,窃取了多家酒店品牌的客户数据。HIBP本周末将近50万条独立账户信息从此次数据泄露事件中添加到其数据库。泄露的数据包括43.7万客户电子邮件地址、姓名、住址、电话号码、旅行计划的预订信息、在线购买记录,以及少量部分信用卡数据。
此次事件凸显了企业在缓解广泛数字供应链风险方面所面临的挑战。酒店业由于存储大量客户个人和财务数据,一直是黑客的诱人目标。2024年,万豪就同意支付5200万美元的和解费,以了结一起影响逾131万美国客户的多年数据泄露事件。
07
新型Android恶意软件Tanzeem伪装成聊天软件收集情报
网络安全公司Cyfirma日前分析发现,他们分别在2024年10月和12月发现的新型Android恶意软件Tanzeem和Tanzeem Update功能高度相似,疑与黑客组织DoNot Team有关。尽管该应用被设计为聊天程序,但安装后无法正常运行,仅在获取必要权限后就会关闭。
DoNot Team(又称APT-C-35、Origami Elephant、SECTOR02、Viceroy Tiger)是一个据信来自印度的黑客组织,过去常利用钓鱼邮件和Android恶意软件家族进行情报收集。这款恶意Android应用可能利用多渠道客户消息推送和互动平台OneSignal进行分发。安装时会显示虚假聊天界面,诱使用户点击"开始聊天"按钮。一旦点击,就会要求用户授予无障碍服务API权限,从而允许应用执行各种恶意操作。该应用还要求访问多项敏感权限,以收集通话记录、联系人、短信、精确位置、账户信息和外部存储中的文件。其他功能还包括捕获屏幕录像和与控制服务器建立连接。
Cyfirma收集到的样本还揭示了一种新的策略,即利用推送通知诱使用户安装额外的Android恶意软件,确保恶意软件在设备上持续存在。
08
工信部等十四部门联合印发《关于加强极端场景应急通信能力建设的意见》
为深入贯彻落实习近平总书记关于应急管理、防灾减灾救灾的重要指示批示精神,工业和信息化部近日联合有关部门印发《关于加强极端场景应急通信能力建设的意见》(以下简称《意见》)。
应急通信是国家应急管理体系的重要组成部分,关系防灾减灾救灾整体效能,在抢险救灾中担负“生命线、指挥线、保障线”的重要作用。《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,坚持总体国家安全观,坚持以人民为中心,坚持底线思维、极限思维,围绕构建国家大应急通信框架,以创新突破技术装备为基础,以改革完善工作机制为保障,以夯实网络基础和提升极端条件保障能力为抓手,全面提升应对极端场景应急通信能力。
下一步,工业和信息化部将会同有关部门强化组织协同、制度协同,加强资金投入、监督考核,推进《意见》任务举措落地见效,切实增强极端场景应急通信托底保障能力,为我国经济社会高质量发展保驾护航。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):软件供应商Otelier遭黑客入侵,50万酒店客户信息遭泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论