2月28日,星期五,您好!中科汇能与您分享信息安全快讯:
01
美国FBI新任局长遭黑客威胁,LockBit号称手握"机密"信息
近日,勒索软件团伙LockBit在其暗网泄露网站上发布一条奇怪的消息,声称拥有"机密信息",如果公开将可能"摧毁"美国联邦调查局(FBI)。该消息直指新任FBI局长Kash Patel。
消息开篇祝贺Patel出任FBI第九任局长,并暗示他将面临重重困难。作者自称是一名"诚实的企业家",声称FBI才是对美国的"真正威胁"。他表示拥有一份"机密信息"档案,其中包含了FBI"肮脏面孔"的内幕,是寻找"真相"的钥匙,可以"治愈虚假"。
该消息呼吁Patel直接与LockBit团伙联系,获取该档案。作者表示,尽管这些信息可能不仅会严重损害FBI的声誉,甚至可能"摧毁"这一机构,但他仍然很不情愿公开。他暗示,这些信息与前总统特朗普所寻求的"真相"不谋而合。
LockBit还发布了一个密码保护的7z压缩包,标题为"personal_gift_for_new_director_FBI_Kash_Patel.7z"。尽管不清楚LockBit是否真正拥有所声称的机密文件,但专家推测该团伙可能是在试图重新引起关注,此前其基础设施于2024年2月被执法部门关闭。
02
美国网络安全局确认:微软合作伙伴网站严重漏洞遭黑客利用
美国网络安全与基础设施安全局(CISA)2月25日确认,微软合作伙伴计划网站存在一个"严重"漏洞(CVE-2024-49035),已被黑客在网络攻击中利用。
该漏洞最初于2024年11月被披露,影响Partner.Microsoft.com网站。这个不当访问控制漏洞可让攻击者在未经身份验证的情况下,提升在网络(即微软合作伙伴中心网站)上的权限。CISA表示:"这类漏洞是黑客常用的攻击向量,对联邦企业构成重大风险。"不过微软表示,合作伙伴中心网站用户"无需采取任何行动,因为补丁会在数天内自动推送"。
微软之前在在线安全公告中将该漏洞标记为"已被利用"。此次CISA根据"活跃利用证据"将其列入了被利用漏洞目录。虽然微软尚未就此发表评论,但CISA的披露凸显了该漏洞的严重性。作为全球领先的科技公司,微软产品和服务的安全性直接关系到数百万用户和合作伙伴的网络安全。
03
俄罗斯警告:金融行业重要IT供应商LANIT系统疑遭入侵
俄罗斯国家计算机事故协调中心(NKTsKI)近日警告金融行业,俄罗斯最大的IT服务和软件提供商之一LANIT发生入侵事件,其子公司LANTER和LAN ATMservice可能受到影响。
根据俄罗斯国家信息安全事件预警中心GosSOPKA发布的安全通报,该入侵事件发生于2025年2月21日。NKTsKI建议所有机构尽快更改在LANIT数据中心运行系统的密码和密钥,并加强对LANIT提供系统的威胁和信息安全事件监控。
LANIT集团提供系统集成、软件开发、网络安全、云服务和IT咨询等多种IT解决方案,服务对象涵盖金融、政府、医疗和电信等多个行业,旗下子公司包括专注于金融IT解决方案的子公司LANTER和LAN ATMservice等。LANIT在俄罗斯数字基础设施中扮演重要角色,并与多家全球IT供应商建立了合作伙伴关系。
04
AI 加速网络攻击,61%黑客在48小时内利用新漏洞实施攻击
根据SonicWall发布的年度网络威胁报告,2024年61%的黑客在发现漏洞后48小时内即使用新的攻击利用代码开展攻击。报告还发现,攻击者正利用人工智能驱动的自动化和先进的规避技术,使中小企业防御日益艰难。
报告指出,人工智能工具使网络攻击更易实施且更复杂。因人工智能增强了混淆技术并自动化利用链,服务器端请求伪造攻击增长了452%。商业电子邮件欺诈攻击也在演变,生成式人工智能使网络犯罪分子能制作高度逼真的钓鱼邮件。涉及恶意PDF和HTML钓鱼文件的攻击也大幅增加。SonicWall数据显示,被发现的恶意文件38%基于HTML,22%基于PDF文件。
为应对这些威胁,SonicWall建议企业采用多层网络安全策略,包括:执行实时补丁管理,在48小时内应用安全补丁;采用零信任安全模型,限制访问并验证所有网络流量;实行24/7威胁监控,与安全服务提供商合作实现持续监控;加强勒索软件防御,实施网络分段和终端检测响应;关注物联网安全,更改默认凭据并更新固件以保护连接设备。
05
Orange集团确认遭黑客攻击,大量内部数据泄露
近日,黑客Rey声称在入侵法国电信运营商和数字服务提供商Orange集团系统后,窃取了数千份包含用户记录和员工数据的内部文件,并在勒索Orange集团未果后在一个黑客论坛上公布了被盗数据细节。Orange集团向媒体证实,确实发生了一起针对非关键应用程序的数据泄露事件。
Rey透露,被盗数据主要来自Orange集团在罗马尼亚的分支机构,包括38万个独立电子邮件地址、源代码、发票、合同,以及客户和员工信息。Rey还表示,他们在Orange集团的系统中逗留了一个多月,并于周日开始窃取公司数据,持续约三小时而未被发现。黑客声称,他们利用被盗凭证以及Orange集团Jira软件漏洞,窃取了近6.5GB、近1.2份文件。黑客表示,他们在系统中留下了勒索信息,但Orange集团并未就此展开谈判。
Orange集团发言人表示,该事件未对客户运营造成影响,数据泄露发生在一个非关键的后台办公应用程序上。公司网络安全和IT团队正在评估泄露范围并尽量降低影响。
06
GitHub再遭滥用,GitVenom窃取加密货币和凭证
研究人员近日发现,恶意软件GitVenom滥用数百个GitHub仓库,诱骗用户下载信息窃取程序、远程访问木马(RAT)和剪贴板劫持程序,企图窃取加密货币和凭证。
卡巴斯基实验室透露,GitVenom活动至少持续了两年。幕后黑客在GitHub上创建了数百个仓库,其中包含带有恶意代码的伪造项目,如自动化操作Instagram账户的工具、管理比特币钱包的Telegram机器人,以及针对游戏《无限valorant》的黑客工具。这些虚假仓库制作精心,包含详细信息和贴合主题的自述文件,可能借助AI工具编写。
卡巴斯基分析了多个支持GitVenom活动的仓库,发现注入的恶意代码采用Python、JavaScript、C、C++和C#等多种语言编写,旨在规避特定代码审查工具或方法的检测。一旦受害者执行有payload的文件,注入的代码就会从黑客控制的GitHub仓库下载第二阶段恶意负载。
安全专家提醒,在使用任何文件前,应通过检查仓库内容、使用杀毒工具扫描文件、在隔离环境中执行下载文件等方式,彻底审查相关项目的真伪。
07
警惕!新型Linux后门Auto-Colo威胁政府和教育行业网络安全
Palo Alto Networks公司Unit 42研究人员近日发现,新型Linux后门程序Auto-Color具有隐蔽性、模块化设计和远程控制能力,对Linux系统,尤其是政府和教育行业构成严重威胁。
研究发现,Auto-Color的攻击通常从执行伪装成"door"、"egg"和"log"等无害名称的文件开始。如果恶意软件以root权限运行,它会安装一个伪装成合法libcext.so.0库的恶意库文件libcext.so.2,将自身复制到/var/log/cross/auto-color目录,并修改/etc/ld.preload以确保恶意库最先被加载。即使无法获取root权限,后门也会执行但跳过持久化机制。Auto-Color使用自定义加密算法解密命令与控制(C2)服务器信息,并通过随机16字节值的交叉验证。一旦连接建立,C2服务器可指示Auto-Color打开反向shell提供全权远程访问,在系统上执行任意命令,修改或创建文件扩大感染范围,充当代理转发攻击者流量,动态修改自身配置。
08
谷歌Chrome恶意扩展绕过安全审查,320万用户受影响
GitLab威胁情报团队近日发现,一场协同的网络攻击活动涉及至少16个恶意Chrome扩展程序,感染了全球逾320万用户,利用浏览器安全漏洞实施广告欺诈和搜索引擎优化操纵。
分析师发现,该活动的技术重点在于通过操纵内容安全策略(CSP)降低浏览器安全性,攻击者通过接管开发者账户而非利用代码漏洞破坏现有扩展,从而绕过谷歌的安全审查。这些自称是屏幕捕获工具或广告拦截器的扩展程序,能劫持用户会话、剥夺关键安全防护,并注入混淆的恶意负载操纵浏览行为。尽管这些扩展已从Chrome网上应用店下架,但未手动卸载的用户仍面临残留风险。
安全专家建议,组织应审计扩展权限(如chrome.declarativeNetRequest)并监控通往blipshotextension[.]com或kproxyservers[.]site等域名的异常网络流量。对个人用户而言,谨慎授予广泛权限至关重要。
09
2.84亿账户遭信息窃取木马窃取,Have I Been Pwned紧急更新数据库
Have I Been Pwned(HIBP)数据泄露通知服务近日新增了2.84亿个被信息窃取木马(infostealer)窃取的账户。这些账户数据是在一个名为“ALIEN TXTBASE”的Telegram频道中被发现的。
HIBP的创始人Troy Hunt表示,在分析1.5TB的窃取日志时,他发现了284,132,969个被泄露的账户。这些日志可能来自多个来源,并在Telegram频道上共享。他在一篇博客中写道:“这些日志包含230亿行数据,涉及4.93亿个独特的网站和电子邮件地址组合,影响了2.84亿个唯一的电子邮件地址。”此外,Hunt还提到:“我们还向Pwned Passwords数据库中添加了2.44亿个之前从未见过的密码,并更新了数据库中已有的1.99亿个密码的计数。”
由于这批数据规模庞大,可能包含通过凭证填充攻击和数据泄露窃取的旧凭证和新凭证。在将这些被盗账户添加到HIBP数据库之前,Troy通过尝试使用被盗电子邮件地址进行密码重置来确认其真实性,确保服务能够发送密码重置邮件。
10
澳大利亚因"不可接受的安全风险"禁止政府使用卡巴斯基软件
近日,澳大利亚成为最新一个禁止政府官员使用俄罗斯网络安全公司卡巴斯基生产的软件的国家,理由是该软件带来了"不可接受的安全风险",澳大利亚内政部上周发布了一项指令,以国家安全风险为由,禁止政府机构在官方系统和设备上安装卡巴斯基的产品或网络服务。
为此,政府机构必须在4月1日之前删除政府系统和设备中卡巴斯基软件的所有现有实例。澳大利亚内政部秘书斯蒂芬妮-福斯特(Stephanie Foster)在指令中表示:"在对威胁和风险进行分析后,我认为使用卡巴斯基实验室的产品和网络服务会给政府网络和数据带来不可接受的安全风险,这些风险来自外国干预、间谍活动和破坏活动的威胁。"
此举标志着澳大利亚成为继加拿大、英国和美国之后,最新一个宣布限制卡巴斯基软件的"五眼情报协定"成员国。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):美国FBI新任局长遭黑客威胁,LockBit号称手握机密信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论