某后台管理系统加密参数逆向分析
前言 在我们日常的渗透中经常会遇到开局一个登录框的情况,弱口令爆破当然是我们的首选。但是有的网站会对账号密码等登录信息进行加密处理,这一步不由得阻碍了很多人的脚步。前端的加解密是比较常见的,无论是 web 后台还是小程序,都常常存在加解密传输,签名防篡改等机制,会使很多渗透人员没有办法直接对参数的值进行更改,大大增加了攻击者的攻击成本。本文将一个带验证码的后台实站案例与大家分享。 正文 发包逻辑分析: 开局一个登录框,随便输入一段账号密码跟验证码进行抓包 提交错误的验证码跟账号密码弹出了验证码错误!的提示,说明这个数据包就是校验账号密码跟验证码的数据包 查看一下参数,账号,验证码都是明文,密码被加密了 搜索参数关键词password,可以看到一个带有login的js文件,双击进入文件。 在文件内部总共有10个password关键词,全部打上断点发包校验。 断点在196行断了下来,t.param.password是明文。经过Object(i["a"])函数运行之后就成了加密密文。证明Object(i["a"])便是加密函数!后续便是把所有需要拿去爆破的明文加密成密文便可绕过前端加密直接进行暴力破解。 扣加密函数: 进入到加密函数内部查看 可以看到函数内部有个s函数,将断点下到156行,查看传进来的t是什么值,以及经过s函数运行之后的返回值又是什么呢。 t是传进来的明文,返回值是加密之后的值。 观察一下代码,可以看到"93a9"和 "7d92",把代码拉到第一行,这个站点用的webpack打包技术。 那么webpack又是什么呢? WebPack打包 webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块 概念: webpack是 JavaScript 应用程序的模块打包器,可以把开发中的所有资源(图片、js文件、css文件等)都看成模块,通过loader(加载器)和plugins(插件)对资源进行处理,打包成符合生产环境部署的前端资源。所有的资源都是通过JavaScript渲染出来的。 如果一个页面大部分是script标签构成,80%以上是webpack打包。 webpack打包简介 多个JS文件打包: 如果模块比较多,就会将模块打包成JS文件, 然后定义一个全局变量 window["webpackJsonp"] = [ ],它的作用是存储需要动态导入的模块,然后重写 window["webpackJsonp"] 数组的 push( ) 方法为 webpackJsonpCallback( ),也就是说 window["webpackJsonp"].push( ) 其实执行的是 webpackJsonpCallback( ),window["webpackJsonp"].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要调用的 寻找加载器 加载器一般是使用call或者apply方法 call() 方法会立即执行这个函数,接受一个多个参数,参数之间用逗号隔开; apply()方法会立即执行这个函数,接受一个包含多个参数的数组; 我们找类似i("1ff3")这种的字眼,然后打断点,刷新页面进断点,一般就可以找到加载器了 断点断下来之后直接进入加载器函数 可以看到d函数里面明显的使用了call函数。 直接全扣整段webpack代码。 定义全局变量调用模块,运行代码 var 君主; 报错windows未定义。直接补上window对象。 var window={}; 在导出的模块里面没有寻找到我们需要的“7d92”模块 复制donate~login.06871226.js文件到ide折叠,将其7d92模块复制到我们有加载器的模块数组里面。 调用7d92模块 报错了TypeError: Cannot read properties of undefined (reading 'call')模块缺失的错误。 打印传进去的模块,看看是缺失哪个模块咱们直接补。 缺失1ff3模块 缺失f28c模块 浏览器全局搜索f28c,模块f28c在chunk-vendors.db1c4c0d.js文件里面。 缺失143d模块,143d模块在donate~login.06871226.js文件里面。 后续报错的93a9,ea6a模块也都在donate~login.06871226.js文件里面。 没有报错了,调用当前函数。加密值出来了。
swagger接口未授权怎么玩?
今天来分享下我是如何自动提取 swagger 中配置的 API 接口的,在此之前,先来了解下 swagger 是什么?下面是 chatgpt 的回答: 总结起来就是一套方便开发人员设计、构建 API 的框架,国内外应用非常广泛,大家在日常信息收集的时候经常会遇到这样的系统,比如通过谷歌语法可以轻松找到: 还可以使用网络空间搜索引擎,比如 fofa: 足以看出使用量是非常广泛来,当然,还有很多是隐藏在网站目录中的,需要通过目录枚举来发现这类系统。随便打开一个看看这个系统长什么样: 上图是配置的一些 API 接口信息,点击其中任意一个接口,会有该 API 详细的信息,比如: 手工测试时,可以根据接口的描述,进行针对性的测试,即方便了开发人员,如果存在未授权访问的情况下也方便的攻击者,而我们作为白帽子,这种系统可以扩展我们测试范围,从而发现更多问题。 所以对于企业而言,这种系统,可以设置访问权限,仅限相关开发人员访问,或者将其设置内网访问,尽量不要将其映射至外网,从而降低这类信息比恶意利用的风险。 今天的主要目的是如何通过编写脚本自动化提取其中的接口,从而实现自动化测试,适用于大量目标的测试。 通过查看网站访问的数据包,可以发现所有接口信息是通过 api 返回数据,再通过前端的 javascript 进行格式化成方便操作的页面,所以我们只需要找到那个返回数据的接口,进行分析提取即可,如图: 上面的案例是 openapi 的 3.0 版本,下面是 swagger 2.0 版本: 经过分析,发现,不同版本的格式有略微的差别,所以在做自动化分析的时候,需要根据不同版本做相应的处理。 从上面的案例同样可以看出,返回接口数据的接口不太一样,第一个是 swagger.json,第二个是 swagger-docs,所以在收集这类数据接口的时候,需要指定常见接口名称和路径的字典,从而发现更多可以返回 API 数据的接口。 下面分别以这两个版本的接口作为案例,解析其中的 API,然后在参数部分添加默认值,输出 API 接口列表,从而应用在其他漏洞扫描器中进行漏洞探测。 1、基于 openapi 3.0 版本,提取接口列表 核心其实就是写一个函数将接口数据中的参数增加默认值后输出即可,一个完整的接口配置如图: 其中 statusCode 是路径中的参数,可以将默认值设为 1,get 表示该接口是通过 GET 方法请求,parameters 就是需要配置的接口参数,name 就是参数的名称,schema 就是参数的类型是数字,我们在自动提取的时候,可以根据参数的类型设置默认值,也可以直接都设置成数字,根据自己的需要来。 简单写了一个解析函数,输出的结果如图: 2、基于 swagger 2.0 版本,提取接口列表 方法其实大同小异,只是格式不同而已,解析出的格式如图: 关于参考脚本可以前往【渗透测试那些事儿】知识星球获取,由于代码并不成熟,所以就不公开分享了,互联网上也有同类型的脚本可以参考: https://github.com/jayus0821/swagger-hack在实现解析单个脚本的能力之后,那么就是如何收集更多类似接口,这里推荐 nuclei 的 POC 模板,也可以根据自己的经验进行添加: https://github.com/projectdiscovery/nuclei-templates/blob/e6c20a24de75a63b3ce01fd25925aef4604cd34c/http/exposures/apis/swagger-api.yaml#L47 比如我们刚才测试的目标: 第一个目标测试出了一个 js 文件,第二个没有测试出来,说明这个 POC 中配置的字典并不全面,这种情况,自己可以将未收录的路径添加到 POC 中,从而扩展工具的能力。
网络安全日报 2023年12月28日
1、安全性较差的Linux SSH服务器易遭受加密货币挖矿攻击 https://asec.ahnlab.com/en/59972/ 安全性较差的 Linux SSH 服务器被不良行为者瞄准,安装端口扫描器和字典攻击工具,目的是瞄准其他易受攻击的服务器并将它们拉入网络以进行加密货币挖掘和分布式拒绝服务 (DDoS)攻击。威胁行为者还可以选择仅安装扫描仪,并在暗网上出售被泄露的 IP 和帐户凭据。在这些攻击中,攻击者试图通过运行用户名和密码的常用组合列表来猜测服务器的 SSH 凭据,这种技术称为字典攻击。如果暴力尝试成功,威胁行为者就会部署其他恶意软件(包括扫描程序)来扫描互联网上的其他易受影响的系统。具体来说,该扫描程序旨在查找端口 22(与 SSH 服务 2、攻击者使用Xamalicious安卓恶意后门发起网络攻击 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/stealth-backdoor-android-xamalicious-actively-infecting-devices/ 研究人员发现了一个使用 Xamarin 实现的 Android 后门,Xamarin 是一个开源框架,允许使用 .NET 和 C# 构建 Android 和 iOS 应用程序。被称为 Android/Xamalicious 的它尝试通过社会工程获得可访问权限,然后与命令和控制服务器进行通信,以评估是否下载在运行时作为程序集 DLL 动态注入的第二阶段有效负载, 3、GitHub警告用户2024年1月19日之前启用2FA否则功能将会受限 https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/ GitHub 警告用户,如果他们的帐户不启用双因素身份验证 (2FA),他们在网站上的功能很快就会受到限制。在平安夜发送给 GitHub 用户的电子邮件中,该公司警告说,所有在 GitHub.com 上贡献代码的用户都必须在 2024 年 1 月 19 日之前启用 2FA。电子邮件中写道:“这是一个提醒, 我们宣布要求用户在 GitHub.com 上贡献代码以启用双因素 4、Integris Health患者在该公司遭遇网络攻击后收到勒索邮件 https://integrisok.com/landing/cyber-event 俄克拉荷马州的 Integris Health 患者收到勒索电子邮件,称他们的数据在医疗保健网络的网络攻击中被盗,如果他们不支付勒索要求,这些数据将被出售给其他威胁行为者。Integris Health 是俄克拉荷马州最大的非营利性医疗网络,在全州运营医院、诊所和紧急护理服务。该医疗保健网络证实,他们在 11 月遭受了网络攻击,导致患者数据被盗。INTEGRIS Health 发现某些系统上存在潜在的未经授权的活动,在意识到可疑活动后,INTEGRIS Health 立即采取措施保护环境,并开始调查活动的性 5、攻击者利用Carbanak银行恶意软件发起勒索软件攻击 https://www.nccgroup.com/us/newsroom/ncc-group-monthly-threat-pulse-november-2023/ Carbanak的银行恶意软件被用于勒索软件攻击,其策略已更新。该恶意软件已经适应了攻击供应商和技术,以使其有效性多样化。Carbanak 上个月通过新的分销链返回,并通过受感染的网站进行分发,以冒充各种商业相关软件。一些模拟工具包括流行的业务相关软件,例如 HubSpot、Veeam 和 Xero。Carbanak至少自 2014 年起就在野外被发现,以其数据泄露和远程控制功能而闻名。它最初是一种银行恶意软件,后来被 FIN7 6、梭子鱼修复了新 ESG 设备零日漏洞 https://securityaffairs.com/156502/breaking-news/barracuda-fixed-a-new-esg-zero-day-exploited-by-chinese-group-unc4841.html 安全公司 Barracuda 解决了一个新的零日漏洞,该漏洞影响了其电子邮件安全网关 (ESG) 设备。 7、Apache OfBiz ERP 系统中的关键零日漏洞使企业面临攻击 https://thehackernews.com/2023/12/critical-zero-day-in-apache-ofbiz-erp.html Apache OfBiz(一个开源企业资源规划 (ERP) 系统)中发现了一个新的零日安全漏洞,可利用该漏洞绕过身份验证保护。 8、CyberAv3ngers 以 5 BTC 的价格出售 1TB 的以色列电力数据 https://thecyberexpress.com/iec-data-breach-israels-power-attack/ 黑客组织 CyberAv3ngers 声称已从以色列电力基础设施获取并出售 1TB 数据。他们在提供数据出售的平台上发布了一条消息。以色列电力公司(IEC)尚未做出回应。 9、LockBit 团伙攻击了会计师事务所 Xeinadin 并窃取了数据 https://securityaffairs.com/156303/cyber-crime/lockbit-gang-xeinadin.html LockBit 勒索软件组织已将目标锁定为拥有 60,000 多名客户的会计师事务所 Xeinadin,并威胁称,如果该公司不联系,将泄露 1.5 TB 的被盗客户数据。 10、谷歌 Chrome 现支持在后台扫描泄露的密码 https://www.bleepingcomputer.com/news/google/google-chrome-now-scans-for-compromised-passwords-in-the-background/ 谷歌表示,Chrome 安全检查功能将在后台运行,检查网络浏览器中保存的密码是否已被泄露。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月27日
1、研究人员披露Kimsuky组织使用的AppleSeed恶意软件 https://asec.ahnlab.com/ko/59933/ Kimsuky 组织自 2013 年以来一直活跃。最初对韩国的朝鲜相关研究机构进行了攻击,并确认了 2014 年对韩国能源机构的攻击, 2017 年以来,针对韩国以外国家的袭击也已得到证实。主要通过鱼叉式网络钓鱼攻击攻击国防、军工、媒体、外交、政府机构、学术领域,旨在窃取组织内部信息和技术。Kimsuky 组织通常使用鱼叉式网络钓鱼攻击作为初始渗透路线,但最近,许多攻击案例都是使用LNK格式的快捷方式恶意软件进行的。LNK 恶意软件在近期攻击中所占比例很高,但利用 JavaScript 恶意软件或恶意文档文件进行攻击的案例也 2、欧洲刑警组织警告443家网上商店遭受信用卡盗窃者攻击 https://www.group-ib.com/media-center/press-releases/digital-skimming-action/ 欧洲刑警组织已通知 400 多个网站,它们的网上商店遭到恶意脚本的攻击,这些脚本会窃取顾客购物时的借记卡和信用卡。浏览器是添加到结账页面或从远程资源加载以逃避检测的 JavaScript 代码小片段。它们旨在拦截和窃取支付卡号、有效期、验证码、姓名和送货地址,然后将信息上传到攻击者的服务器。攻击者利用窃取的数据执行未经授权的交易,例如在线购买,或将其转售给暗网市场上的其他网络犯罪分子。这些攻击可能在数周甚至数月内都未被发现,并且根据被破坏 3、攻击者利用恶意Chrome拓展程序针对俄语用户发起网络攻击 https://reasonlabs.com/research/the-cashback-extension-killer 三个冒充 VPN(虚拟专用网络)感染的恶意 Chrome 扩展程序被下载了 150 万次,充当浏览器劫持者、现金返还黑客工具和数据窃取者。它们是通过隐藏在《侠盗猎车手》、《刺客信条》和《模拟人生 4》等流行视频游戏的盗版副本中的安装程序进行传播的,这些游戏是从 torrent 网站分发的。研究人员将其调查结果通知了谷歌,这家科技巨头从 Chrome 网上应用店中删除了这些违规扩展,但前提是这些扩展的下载总量已达到 150 万次。具体来说,恶意扩展是 netPlus(10 4、Carbanak 恶意软件在勒索软件攻击中卷土重来 https://securityaffairs.com/156410/malware/carbanak-malware-ransomware-attacks.html NCC 集团的研究人员报告称,11 月,他们观察到臭名昭著的银行恶意软件 Carbanak 在勒索软件攻击中卷土重来。 5、Resecurity 发布 2024 年网络威胁格局预测 https://securityaffairs.com/156405/reports/2024-cyber-threat-landscape-forecast.html 网络安全公司 Resecurity 发布了 2024 年网络威胁形势预测。 6、Ubuntu 安全更新修复了 Vim 漏洞 https://tuxcare.com/blog/ubuntu-security-updates-fixed-vim-vulnerabilities 这些漏洞的范围从拒绝服务风险到任意代码执行可能性。它强调了定期更新 Vim 并应用安全补丁来减轻这些风险的重要性。 7、研究人员发现隐形 Android 后门 Xamalicious 主动感染设备 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/stealth-backdoor-android-xamalicious-actively-infecting-devices/ 使用 Xamarin 实现的 Xamalicious 后门通过获取可访问权限并与 C2 服务器通信以下载第二阶段有效负载来针对 Android 设备,从而可能在未经用户同意的情况下实施欺诈行为。 8、盗版 WordPress 插件可能导致电子商务网站面临信用卡被盗风险 https://thehackernews.com/2023/12/rogue-wordpress-plugin-exposes-e.html 研究人员发现了一个流氓 WordPress 插件,它能够创建假管理员用户并注入恶意 JavaScript 代码以窃取信用卡信息。 9、全国公安机关视频会议:将依法打击查处各类涉网违法犯罪活动 http://www.anquan419.com/knews/24/6469.html 全国公安机关视频会议 12 月 23 日召开。会议指出,要严格落实网上巡控等措施,快速查处网络谣言和有害信息,依法打击查处各类涉网违法犯罪活动,有效治理网络乱象。 10、GTA 5 完整源代码被公开泄露 https://www.freebuf.com/news/387698.html 《GTA 5》的源代码在圣诞节前夕遭泄露,该文件包大小约为 4GB,包含大量 RAGE 引擎文件、概念和参考图像,还有《GTA5》圣安地列斯的早期地图。游戏源代码链接被黑客分发到了Discord、某暗网网站和一个 Telegram 频道等多个渠道。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月26日
1、研究人员披露利用Word文档传播基于Nim的恶意软件活动 https://www.netskope.com/blog/a-look-at-the-nim-based-campaign-using-microsoft-word-docs-to-impersonate-the-nepali-government 一个新的网络钓鱼活动正在利用诱饵 Microsoft Word 文档作为诱饵来提供用Nim 编程语言编写的后门。用不常见的编程语言编写的恶意软件使安全社区处于不利地位,因为研究人员和逆向工程师的不熟悉可能会阻碍他们的调查。NimzaLoader、Nimbda、IceXLoader等加载程序以及以Dark Power和Kanti名称追踪的勒索软件 2、研究人员发现GPU.zip技术可以从显卡中窃取敏感信息 https://blogs.blackberry.com/en/2023/12/sneaky-gpu-zip-technique-steals-sensitive-information-from-your-graphics-card 研究人员发现了一种新方法,威胁行为者可以在您上网并浏览某些网站时从您的显卡中偷偷访问视觉信息。研究人员将这种威胁称为“ GPU.zip ”,因为它利用现代图形处理单元 (GPU) 使用的隐藏数据压缩方法将视觉数据泄露给恶意第三方。在测试中,他们发现该技术可用于窃取目标的敏感视觉数据,例如用户名和密码,而用户不知道发生了什么。研究人员在一篇论文中写下了他们的概念 3、Akira勒索组织称对日产汽车澳大利亚分公司发起网络攻击 https://www.bleepingcomputer.com/news/security/nissan-australia-cyberattack-claimed-by-akira-ransomware-gang/ 在 12 月 22 日该行动的日期泄露博客中添加的新条目中,Akira 勒索软件团伙声称它侵入了日本汽车制造商日产汽车澳大利亚分公司 Nissan Australia 的网络。Akira 表示,其行动者据称从该汽车制造商的系统中窃取了约 100GB 的文件。攻击者威胁要在网上泄露敏感的业务和客户数据,因为日产拒绝参与或支付赎金后,与日产的赎金谈判失败。勒索软件组织表示。“您会 4、Mint Mobile遭遇数据泄露事件影响客户个人信息 https://twitter.com/CyleRickner/status/1738186087502168292 Mint Mobile 披露了一起新的数据泄露事件,该事件暴露了其客户的个人信息,包括可用于执行 SIM 交换攻击的数据。Mint 是一家移动虚拟网络运营商 (MVNO),提供预算预付费移动套餐。T-Mobile 提议支付 13 亿美元收购该公司。该公司于 12 月 22 日开始通过标题为“有关您帐户的重要信息”的电子邮件通知客户,称他们遭遇了安全事件,黑客获取了客户信息。Mint Mobile 数据泄露通知警告称:“我们写这封信是为了通知您我们最近发现的一起安全事件,其中未 5、CISA 警告 FXC 路由器、QNAP NVR 漏洞被广泛利用 https://www.securityweek.com/cisa-warns-of-fxc-router-qnap-nvr-vulnerabilities-exploited-in-the-wild/ CISA 发布了针对 FXC 路由器和 QNAP NRV 缺陷的 ICS 公告,并将其添加到其已知的利用漏洞目录中。 6、思科将收购 Isovalent,将 eBPF 技术添加到云产品组合中 https://www.securityweek.com/cisco-to-acquire-isovalent-add-ebpf-tech-to-cloud-portfolio/ 思科周四宣布计划收购硅谷网络和安全初创公司 Isovalent,以增强其云安全产品组合的能力。 7、恶意 GPT 可以钓鱼凭证,将其泄露到外部服务器 https://www.securityweek.com/malicious-gpt-can-phish-credentials-exfiltrate-them-to-external-server-researcher/ 研究人员展示了恶意行为者如何创建自定义 GPT,通过网络钓鱼获取用户凭据并将窃取的数据泄露到外部服务器。 8、RusticWeb 行动:基于 Rust 的恶意软件针对印度政府实体 https://thehackernews.com/2023/12/operation-rusticweb-rust-based-malware.html 印度政府实体和国防部门已成为网络钓鱼活动的目标,该活动旨在投放基于 Rust 的恶意软件以进行情报收集。该活动于 2023 年 10 月首次检测到,企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。 9、Cloud Atlas 针对俄罗斯农业和研究公司进行鱼叉式钓鱼攻击 https://thehackernews.com/2023/12/cloud-atlas-spear-phishing-attacks.html 被称为Cloud Atlas 的威胁行为者与一系列针对俄罗斯企业的鱼叉式网络钓鱼攻击有关。Cloud Atlas 是一个来源不明的网络间谍组织,至少从 2014 年开始活跃。该威胁行为者也被称为 Clean Ursa、Inception、Oxygen 和 Red October,以其针对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的持续活动而闻名。 10、入侵 R 星泄露《GTA 6》源代码的少年黑客被判终生入院看护 https://www.ithome.com/0/740/882.htm 入侵 R 星泄露《GTA 6》源代码的黑客 Arion Kurtaj 被法院判处终生入院看护(indefinite hospital order),除非医生认为他不再构成威胁。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月25日
1、研究人员披露Predator间谍软件数百万美元许可模型 https://blog.talosintelligence.com/intellexa-and-cytrox-intel-agency-grade-spyware/ 复杂商业间谍软件Predator的一项新分析表明,其在重新启动之间持续存在的能力是作为“附加功能”提供的,并且取决于客户选择的许可选项。2021 年,Predator 间谍软件无法在受感染的 Android 系统上重新启动(iOS 上也有)。但是,到 2022 年 4 月,他们的客户就可以享受到这种功能了。Predator 可以针对 Android 和 iOS,被描述为一种“远程移动提取系统”,其以许可模式出售,根据初始访问所 2、APT33组织利用新的FalseFont恶意软件针对国防公司发起攻击 https://twitter.com/MsftSecIntel/status/1737895715911700830 伊朗网络间谍组织APT33正在使用最近发现的 FalseFont 后门恶意软件来攻击全球的国防承包商。微软观察到伊朗民族国家演员 Peach Sandstorm 试图向国防工业基地 (DIB) 部门的组织工作的个人提供一个新开发的名为 FalseFont 的后门。这些攻击的目标 DIB 部门包括超过 100000 家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。该黑客组织也被称为 Peach Sandstorm、HOLMIUM 或 Refined Kitten 3、诈骗者利用广告推送传播MS Drainer钓鱼网站盗取巨额加密货币 https://drops.scamsniffer.io/post/from-google-to-x-ads-tracing-the-crypto-wallet-drainers-58-million-trail/ 攻击者利用谷歌和 Twitter 的广告传播包含名为“MS Drainer”的加密货币流失程序的网站,该网站在过去 9 个月内已从 63210 名受害者那里窃取了 5900 万美元。从 2023 年 3 月至今,他们发现了超过一万个使用 MS Drainer 的网络钓鱼网站,其中 5 月、6 月和 11 月的活动激增。用户被带到一个看似合法的网络钓鱼网站,并被诱骗批准恶意合约,从 4、OpenAI针对ChatGPT数据泄露漏洞推出了不完善的修复程序 https://embracethered.com/blog/posts/2023/openai-data-exfiltration-first-mitigations-implemented/ OpenAI 缓解了 ChatGPT 中的数据泄露错误,该错误可能会将对话详细信息泄露到外部 URL。据发现该漏洞的研究人员称,缓解措施并不完美,因此攻击者在某些条件下仍然可以利用它。此外,ChatGPT 的 iOS 移动应用程序尚未实施安全检查,因此该平台上的风险仍未得到解决。安全研究人员发现了一种从 ChatGPT 中窃取数据的技术,并于 2023 年 4 月向 OpenAI 报告。该研究人员后 5、Ivanti发布了针对13个严重Avalanche RCE漏洞的补丁 https://forums.ivanti.com/s/article/Avalanche-6-4-2-Security-Hardening-and-CVEs-addressed Ivanti 发布了安全更新,修复了该公司 Avalanche 企业移动设备管理 (MDM) 解决方案中的 13 个关键安全漏洞。Avalanche 允许管理员通过互联网从一个中央位置管理超过 100000 台移动设备、部署软件并安排更新。这些安全缺陷是由WLAvalancheService 堆栈或基于堆的缓冲区溢出漏洞造成的。未经身份验证的攻击者可以在低复杂性攻击中利用它们,这些攻击不需要用户交互即可在未修补的系 6、攻击者利用伪造的F5 BIG-IP零日警告电子邮件部署数据擦除器 https://www.gov.il/he/Departments/publications/reports/alert_1687 以色列国家网络管理局警告称,假冒 F5 BIG-IP 零日安全更新的网络钓鱼电子邮件会部署 Windows 和 Linux 数据擦除器。以色列国家网络管理局 (INCD) 充当 CERT,负责保护国家免受网络威胁,并向组织和公民发出已知攻击的警告。自十月以来,以色列一直是亲巴勒斯坦和伊朗黑客活动分子的重点攻击目标,他们一直在对该国的组织进行数据盗窃和数据擦除攻击。11 月,研究人员发现了一种名为 BiBi Wiper 的新数据擦除器, 它同时针对 Linux 和 7、加密货币诈骗者滥用Twitter功能来冒充知名账户 https://twitter.com/XrplServices/status/1736432471166660814 加密货币诈骗者正在滥用合法的 Twitter“功能”来宣传诈骗、虚假赠品以及用于窃取您的加密货币和 NFT 的欺诈性 Telegram 频道。在 X(以前更广泛地称为 Twitter)上,帖子的 URL 由发推者的帐户名和状态 ID 组成。网站使用状态 ID 来确定应从网站数据库加载哪些帖子,而不去检查帐户名是否有效。这允许您获取推文的 URL 并将帐户名称修改为您想要的任何名称,甚至是高调的帐户。访问 URL 时,网站只会将您重定向到与 ID 关联的正确 URL。诈骗者在 8、安卓恶意软件Chameleon禁用指纹解锁以窃取PIN https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action Chameleon Android 银行木马以新版本重新出现,该版本使用一种棘手的技术来接管设备——禁用指纹和面部解锁来窃取设备 PIN。它通过使用 HTML 页面技巧来获取对辅助功能服务的访问权限,并使用一种破坏生物识别操作以窃取 PIN 并随意解锁设备的方法来实现此目的。今年 4 月发现的 Chameleon 早期版本冒充澳大利亚政府机构、银行和 CoinSpot 加密货币交易所,在受感染的设备上执行键盘记录、覆盖注入 9、Inhospitality恶意垃圾邮件活动针对酒店业发起攻击 https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry/ 一项针对全球酒店的密码窃取恶意软件活动正在利用有关服务问题或信息请求的电子邮件投诉作为社会工程诱饵,以获取活动目标的信任,然后再向其发送链接恶意负载。攻击者最初通过电子邮件联系目标,该电子邮件只包含文本,但主题是服务面向企业(如酒店)会希望快速响应。只有在目标回复威胁行为者的初始电子邮件后,威胁行为者才会发送后续消息,链接到他们声称的有关其请求或投诉的详细信息。社会工程角度涵盖了各种各样的主题,但可以分 10、游戏巨头育碧正在调查数据泄露事件 https://securityaffairs.com/156331/data-breach/ubisoft-investigating-alleged-data-breach.html 游戏发行商育碧正在审查著名研究人员 vx-underground 披露证据后有关潜在数据泄露。研究人员报告称,2023 年 12 月 20 日,一名未知威胁参与者可以访问育碧基础设施大约 48 小时。管理员发现攻击后将入侵者锁定。目前尚不清楚攻击者如何入侵该公司,他们试图窃取 R6 Siege 用户数据,但没有成功。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月22日
1、研究人员披露Terrapin攻击可降低OpenSSH连接的安全性 https://terrapin-attack.com/ 学术研究人员开发了一种名为 Terrapin 的,该攻击会在握手过程中操纵序列号,从而在使用某些广泛使用的加密模式时破坏 SSH 通道的完整性。这种操作使攻击者可以删除或修改通过通信通道交换的消息,从而导致 OpenSSH 9.5 中用于用户身份验证的公钥算法降级或禁用针对击键计时攻击的防御。Terrapin 攻击利用了 SSH 传输层协议的弱点,并结合了 OpenSSH 十多年前引入的较新的加密算法和加密模式。Terrapin 攻击会在客户端或服务器不注意的情况下截断重要的协商消息,从而降低已建立连接的安全性。 2、研究人员披露零点击Outlook RCE漏洞的新细节 https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-two 研究人员披露有关微软 Windows 系统中两个现已修补的安全漏洞的技术细节,攻击者可能会利用这些漏洞在 Outlook 电子邮件服务上实现远程代码执行,而无需任何用户交互。互联网上的攻击者可以将这些漏洞链接在一起,针对 Outlook 客户端创建完整的零点击远程代码执行 (RCE) 漏洞。Microsoft 于8 月和 2023 年 10 月解决了安全问题下面分别列出了CVE-2023-35384(CV 3、Vans和North Face的总公司VF Corp遭受勒索软件攻击 https://www.sec.gov/ix?doc=/Archives/edgar/data/0000103379/000095012323011228/d659095d8k.htm 美国全球服装和鞋类巨头 VF 公司(旗下拥有 Supreme、Vans、Timberland 和 The North Face 等品牌)披露了一起导致运营中断的安全事件。VF Corp. 是一家总部位于科罗拉多州的服装公司,拥有 13 个全球知名品牌。该公司拥有 35000 名员工,年收入达 116 亿美元。除上述品牌外,VF Corp. 还拥有 Dickies、Eastpak、Kipling、Napapij 4、ESET 修复安全流量扫描功能中的高严重性漏洞 https://www.securityweek.com/eset-patches-high-severity-vulnerability-in-secure-traffic-scanning-feature/ ESET 已为其多个端点和服务器安全产品发布了补丁,以解决一个高严重性漏洞,该漏洞可能被利用导致 Web 浏览器信任不应信任的网站。 5、Ivanti 修补了 Avalanche MDM 产品中的十几个关键漏洞 https://www.securityweek.com/ivanti-patches-dozen-critical-vulnerabilities-in-avalanche-mdm-product/ Ivanti 向客户通报其 Avalanche 企业移动设备管理 (MDM) 产品中已修复的 20 个漏洞,其中包括十多个严重程度为“严重”的漏洞。 6、谷歌发布紧急更新解决了一个新的被利用的Chrome零日漏洞 https://securityaffairs.com/156231/security/google-addressed-a-new-actively-exploited-chrome-zero-day.html 谷歌发布了紧急更新,以解决其网络浏览器 Chrome 中的一个新的零日漏洞(编号为 CVE-2023-7024)。 7、钓鱼活动利用旧的MS Excel 漏洞传播 Agent Tesla 恶意软件 https://thehackernews.com/2023/12/hackers-exploiting-old-ms-excel.html 作为网络钓鱼活动的一部分,攻击者正在利用旧的 Microsoft Office 漏洞来传播名为Agent Tesla的恶意软件。感染链利用以发票为主题的消息中附加的诱饵 Excel 文档来诱骗潜在目标打开它们并激活 CVE-2017-11882(CVSS 评分:7.8)的利用,这是 Office 公式编辑器中的内存损坏漏洞,可能会导致代码以用户权限执行。 8、数据泄露暴露了 15 亿条房产记录,包括特朗普、马斯克等名人 https://www.hackread.com/data-leak-exposes-real-estate-records-elon-musk-trump 由于云服务器配置错误,纽约坎贝尔的一家名为房地产财富网平台暴露了大量房地产记录。暴露的数据库保存了 15 亿条记录,其中包括数百万人的房地产所有权数据。从埃隆·马斯克和凯莉·詹纳到布兰妮·斯皮尔斯、唐纳德·J·特朗普和弗洛伊德·梅威瑟,顶级名人和普通房主的房地产记录在没有任何安全认证或密码的情况下在网上公开。 9、新型网络钓鱼攻击能绕过 Instagram 2FA 验证! https://www.freebuf.com/articles/387283.html 一种新型网络钓鱼活动伪装成 "版权侵权 "电子邮件,试图窃取 Instagram 用户的备份代码,以帮助威胁攻击者绕过账户上配置的双因素身份验证(2FA)。 10、网信披露:四川省某医院遭受网络攻击导致全院系统瘫痪 http://www.anquan419.com/knews/24/6454.html 据网信四川近日披露,四川省某医院遭受网络攻击导致全院系统瘫痪,公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月21日
1、伊朗攻击者利用MuddyC2Go在非洲各地实施电信间谍攻击 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/iran-apt-seedworm-africa-telecoms2、新型恶意广告活动伪装成流行软件PikaBot进行分发 https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-adsPikaBot 恶意软件加载程序作为恶意广告活动针对搜索用户的一部分进行分发适用于 AnyDesk 等合法软件。PikaBot 以前仅通过与 QakBot 类似的恶意垃圾邮件活动进行分发,并成为名为 TA577 的威胁参与者的首选有效负载之一。该恶意软件家族于 2023 年初首次出现,由加载程序和核心组成模块,允许其作为后门以及其他有效负载的分发者运行。这使攻击者能够获得对受感染系统的未经授权的远程 3、攻击者滥用GitHub来逃避检测和控制受感染的主机 https://www.reversinglabs.com/blog/malware-leveraging-public-infrastructure-like-github-on-the-rise攻击者越来越多地通过新方法利用 GitHub 进行恶意目的,包括滥用秘密 Gists 以及通过 git commit 消息发出恶意命令。恶意软件作者偶尔会将他们的样本放置在 Dropbox、Google Drive、OneDrive 和 Discord 等服务中,以托管第二阶段恶意软件和回避检测工具。最近,研究人员发现越来越多的人使用 GitHub 开源开发平台来托管恶意软件。已知使用合法公共服务攻 4、微软确认Windows 11更新后存在Wi-Fi连接问题 https://support.microsoft.com/en-us/topic/december-4-2023-kb5032288-os-builds-22621-2792-and-22631-2792-preview-538fbe4a-e9de-4312-85cd-d870444341d0Microsoft 已确认某些 Windows 11 设备在安装最近的累积更新后遇到 Wi-Fi 连接问题。尽管该公司仅提到KB50532288可选预览更新作为这些 Wi-Fi 网络连接问题的原始更新,但大多数受影响的客户在安装本月补丁星期二期间发布的KB5033375累积更新后受到了影响。据报道,如果 5、Xfinity遭遇数据泄露影响超过3500万个人信息 https://www.businesswire.com/news/home/20231218979935/en/Notice-To-Customers-of-Data-Security-Incident/康卡斯特有线通信公司(以 Xfinity 名义开展业务)周一透露,10 月份入侵其 Citrix 服务器的攻击者还从其系统中窃取了客户敏感信息。10 月 25 日,即 Citrix发布安全更新以解决现在称为Citrix Bleed并追踪为 CVE-2023-4966 的严重漏洞大约两周后,这家电信公司发现了 10 月 16 日至 19 日期间其网络上存在恶意活动的证据。至少从 2023 年 6、Mozilla 修补 Firefox 漏洞,这些漏洞允许远程执行代码、沙箱逃逸 https://www.securityweek.com/mozilla-patches-firefox-vulnerability-allowing-remote-code-execution-sandbox-escape/Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新,以解决 20 个漏洞,其中包括多个内存安全问题。 7、德国警方查获暗网市场 Kingdom Market https://securityaffairs.com/156218/cyber-crime/police-seized-kingdom-market.html德国联邦刑事警察局 (BKA) 和法兰克福打击网络犯罪单位 (ZIT) 以及多个国家(美国、瑞士、摩尔多瓦和乌克兰)的执法机构开展了一项行动,查封了暗网市场 Kingdom Market。 8、国际刑警反诈执法行动"HAECHI IV"查获 3 亿美元逮捕约3,500 名嫌疑人 https://securityaffairs.com/156209/cyber-crime/haechi-iv-operation-interpol.html国际刑警组织本周宣布,一项名为“HAECHI IV”的国际执法行动逮捕了约 3,500 名嫌疑人,并没收了价值约 3 亿美元的资产。这项为期六个月的行动(2023 年 7 月至 12 月)针对涉及七种类型在线诈骗的组织:商业电子邮件泄露(BEC)、电子商务欺诈、投资欺诈、语音网络钓鱼、与非法在线赌博相关的洗钱、浪漫诈骗和在线诈骗。性勒索计划。 9、复杂的 JaskaGO 信息窃取程序针对 macOS 和 Windows https://securityaffairs.com/156185/malware/jaskago-information-stealer-macos-windows.html专家警告说,JaskaGO 是一种基于 Go 的新型信息窃取恶意软件,针对 Windows 和 Apple macOS 系统。 10、Play勒索软件已完成RaaS业务转型,曾袭击全球超300家企业机构 https://www.freebuf.com/news/387140.html据澳大利亚和美国发布的最新联合网络安全公告称,截至今年 10 月,Play 勒索软件已影响了约 300 家企业。据悉,Play 勒索软件采用双重勒索模式,会在数据外流后对系统进行加密,现已对北美、南美、欧洲和澳大利亚等众多企业和关键基础设施组织造成了影响。Play 又名 Balloonfly / PlayCrypt,最早出现于 2022 年,曾利用微软 Exchange 服务器(CVE-2022-41040 和 CVE-2022-41082)和 Fortinet 设备(CVE-2018-13379 和 CVE-20 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月20日
1、VoIP通信公司3CX警告客户禁用SQL数据库集成 https://www.3cx.com/blog/news/sql-database-integration/ VoIP 通信公司 3CX 今天警告客户禁用 SQL 数据库集成,因为它所描述的潜在漏洞存在潜在风险。尽管今天发布的安全公告缺乏有关该问题的任何具体信息,但它建议客户通过禁用 MongoDB、MsSQL、MySQL 和 PostgreSQL 数据库集成来采取预防措施。该安全问题仅影响 3CX 互联网语音协议 (VOIP) 软件的版本 18 和 20。此外,并非所有基于 Web 的 CRM 集成都会受到影响。 2、QakBot恶意软件针对酒店业发起网络钓鱼攻击 https://twitter.com/MsftSecIntel/status/1735856754427047985 微软现警告 QakBot 再次在网络钓鱼活动中分发,伪装成来自 IRS 员工的电子邮件。微软表示,它于 12 月 11 日在一次针对酒店业的小型活动中首次观察到网络钓鱼攻击。电子邮件中附有一个伪装成来宾名单的 PDF 文件,上面写着“文档预览不可用”。然后提示用户下载 PDF 才能正常查看。然而,当点击下载按钮时,接收者将下载一个 MSI,安装后会将 Qakbot 恶意软件 DLL 启动到内存中。 3、微软新推出更安全的Windows保护打印模式 https://techcommunity.microsoft.com/t5/security-compliance-and-identity/a-new-modern-and-secure-print-experience-from-windows/ba-p/4002645 Microsoft 宣布推出新的 Windows 保护打印模式 (WPP),为 Windows 打印系统引入了显着的安全增强功能。WPP 构建于现有的 IPP 打印堆栈之上,仅支持 Mopria 认证的打印机,并禁用加载第三方驱动程序的功能。打印错误在 Stuxnet 和 Print Nightmare 中发挥了重要作 4、美国贷款巨头库珀先生泄露了1470万名客户数据 https://www.freebuf.com/news/387030.html 美国抵押贷款巨头库珀先生(Mr.Cooper )发出通告称,近期的一次网络攻击已经泄露了 1470 万曾在该公司抵押贷款的客户数据。 5、微软在 Perforce Helix 核心服务器中发现4个安全漏洞 https://www.freebuf.com/news/387010.html 微软分析师在对Perforce Helix的游戏开发工作室产品进行安全审查时,发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞,并于今年 8 月底向 Perforce 报告了这些漏洞,其中一个漏洞被评为严重漏洞。 6、工信部推出针对数据安全事件的彩色编码行动计划 https://thehackernews.com/2023/12/chinas-miit-introduces-color-coded.html 中国工业和信息化部(MIIT)周五公布了提案草案,详细说明了其使用颜色编码系统解决中国数据安全事件的计划。该部门表示,这项工作旨在“提高对数据安全事件的综合反应能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人和组织的合法权益,维护国家安全和公共利益。 7、新疆公安机关公布8起网络违法犯罪典型案例 https://www.secrss.com/articles/61840 为切实净化网络环境,有效维护网络空间清朗,新疆公安机关依法持续严打涉网违法犯罪,侦办了一批网络违法犯罪案件。 8、从电子消费巨头到美国法院,BlackCat 向全球目标发起攻击 https://www.freebuf.com/news/topnews/386935.html BlackCat勒索软件(又名AlphaVM、AlphaV或ALPHV)于2021年11月中旬首次被Malwarehuntertam研究人员披露,是第一个基于RUST语言编写的专业勒索软件家族系列,并因其高度定制化和个性化的攻击而迅速赢得市场。该软件不仅能够在各种企业环境进行攻击,还在短期内成功执行了多次引人注目的攻击,受害者包括汽车消费电子巨头 Voxx Electronics、美国法院、知名手表品牌Seiko等等。 9、国家数据局《“数据要素×”三年行动计划 》公开征求意见 https://www.secrss.com/articles/61824 充分发挥数据要素的放大、叠加、倍增作用,构建以数据为关键要素的数字经济,是推动高质量发展的必然要求。为深入贯彻落实习近平总书记关于发挥数据要素作用的重要指示精神和党中央、国务院决策部署,发挥数据要素乘数效应,赋能经济社会发展,特制订本行动计划。 10、FBI 声称已捣毁 ALPHV/BLACKCAT 勒索软件Tor 泄露站点 https://securityaffairs.com/156124/cyber-crime/alphv-blackcat-ransomware-group-seizure.html 美国联邦调查局 (FBI) 宣布查获 AlphV/Blackcat 勒索软件组织的 Tor 泄露站点。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月19日
1、谷歌Chrome测试新的跟踪保护可阻止第三方Cookie https://blog.google/products/chrome/privacy-sandbox-tracking-protection/ Google 周四宣布将开始测试一项名为“跟踪保护”的新功能。从 2024 年 1 月 4 日开始,向 1% 的 Chrome 用户提供此服务,作为其在网络浏览器中弃用第三方 Cookie 的一部分。该设置旨在限制“默认情况下限制网站访问第三方 Cookie 的跨站点跟踪”。跟踪保护的参与者将被随机选择,选定的用户将在桌面或安卓设备上打开 Chrome 时收到通知。其目标是默认限制第三方 Cookie(也称为“非必需 Cookie”),防止它们被用 2、CISA敦促制造商消除默认密码以减轻网络威胁 https://www.cisa.gov/news-events/alerts/2023/12/15/cisa-secure-design-alert-urges-manufacturers-eliminate-default-passwords 美国网络安全和基础设施安全局 (CISA) 敦促制造商完全废除互联网暴露系统上的默认密码,理由是攻击者可能会利用这些严重风险来获得对组织的初始访问权限并在组织内横向移动。在上周发布的警报中,该机构谴责隶属于伊斯兰革命卫队(IRGC)的伊朗威胁行为者利用带有默认密码的操作技术设备来访问美国的关键基础设施系统。默认密码是指嵌入式系统、设备和设备的出厂默 3、MongoDB承认遭遇网络攻击导致客户数据泄露 https://twitter.com/vxunderground/status/1736134217321370109 MongoDB 警告称,该公司本周早些时候检测到的一次网络攻击中,其公司系统遭到破坏,客户数据遭到泄露。该公司表示,他们检测到他们的系统在周三晚上(12 月 13 日)遭到黑客攻击,并开始调查该事件。MongoDB 正在调查涉及未经授权访问某些 MongoDB 公司系统的安全事件。这包括暴露客户帐户元数据和联系信息。目前,他们不知道客户存储在 MongoDB Atlas 中的数据有任何泄露。该公司不认为黑客访问了 MongoDB Atlas 中存储的任何客户数据。然而,M 4、微软警告Storm-0539节日礼品卡诈骗活动持续增加 https://twitter.com/MsftSecIntel/status/1735351713907773711 微软警告称,其追踪的新兴威胁集群中的恶意活动有所增加Storm-0539,用于精心策划礼物在假日购物季期间,通过高度复杂的电子邮件和短信网络钓鱼攻击零售实体进行银行卡欺诈和盗窃。攻击的目标是传播诱杀链接,将受害者引导至能够获取其凭据和会话令牌的中间对手 (AiTM) 网络钓鱼页面。获得初始会话和令牌的访问权限后,Storm-0539 会注册自己的设备以进行后续的二次身份验证提示,绕过 MFA 保护并使用完全受损的身份持续存在于环境中。以这种方式获得的立足点进一步充当了特权升 5、攻击者针对WordPress托管提供商Kinsta发起谷歌广告钓鱼活动 https://www.bleepingcomputer.com/news/security/wordpress-hosting-service-kinsta-targeted-by-google-phishing-ads/ WordPress 托管提供商 Kinsta 警告客户,已观察到 Google 广告宣传钓鱼网站以窃取托管凭证。Kinsta 表示,网络钓鱼攻击的目的是窃取 MyKinsta 的登录凭据,MyKinsta 是该公司提供的一项关键服务,用于管理 WordPress 和其他基于云的应用程序。Kinsta 在发送给客户的电子邮件中表示,它已发现攻击者正在利用 Google A 6、网络攻击导致伊朗大部分加油站瘫痪 https://www.securityweek.com/a-suspected-cyberattack-paralyzes-the-majority-of-gas-stations-across-iran/ 据伊朗国家电视台报道,伊朗近 33,000 个加油站中的近 70% 周一因可能遭受网络攻击而停止服务。 7、SMTP 走私攻击允许欺骗性电子邮件绕过身份验证协议 https://www.securityweek.com/smtp-smuggling-allows-spoofed-emails-to-bypass-authentication-protocols/ 一种名为 SMTP 走私的新攻击技术可以允许恶意行为者发送绕过身份验证机制的欺骗性电子邮件。 8、研究人员披露Radamanthys信息窃取恶意软件新功能 https://blog.checkpoint.com/security/unveiling-the-new-threats-rhadamanthys-v0-5-0-a-research-overview-by-check-point-research-cpr/ Rhadamanthys 信息窃取恶意软件的开发人员最近发布了两个主要版本,全面添加改进和增强功能,包括新的窃取功能和增强的规避功能。Rhadamanthys 是一种 C++ 信息窃取程序,于 2022 年 8 月首次出现,目标是电子邮件、FTP 和在线银行服务帐户凭据。该窃取程序通过订阅模式出售给网络犯罪分子,因此它会通过各种渠道 9、InfectedSlurs 僵尸网络针对 QNAP VioStor NVR 漏洞 https://securityaffairs.com/155972/hacking/infectedslurs-botnet-qnap-viostor-nvr.html 基于 Mirai 的僵尸网络 InfectedSlurs 被发现主动利用两个零日漏洞针对 QNAP VioStor NVR(网络录像机)设备。研究人员于 2023 年 10 月发现了该僵尸网络,但他们认为该僵尸网络至少从 2022 年起就一直活跃。专家们向各自的供应商报告了这两个漏洞,但他们计划在 2023 年 12 月发布修复程序。 10、游戏开发商Insomniac遭黑客入侵,《金刚狼》相关数据疑被泄露 https://www.secrss.com/articles/61726 漫威蜘蛛侠》系列开发商Insomniac Games最近遭到一个名为Rhysida的黑客组织攻击,该勒索软件团伙声称他们窃取到了即将推出的《金刚狼》游戏的详细信息以及一些前任和现任员工的数据。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页