每日头条
1. Southern Water遭到Black Basta的勒索攻击并威胁公开数据
1月23日,Southern Water 是一家私营公用事业公司,负责收集和处理汉普郡、怀特岛、西萨塞克斯、东萨塞克斯和肯特郡的废水,并为该地区约一半的地区提供公共供水。Black Basta勒索软件组织将 Southern Water 添加到其 Tor 数据泄露网站的受害者名单中,并威胁要于 2024 年 2 月 29 日泄露被盗数据。该组织声称窃取了 750 GB 的敏感数据,包括用户的个人文档和公司文档。该团伙公布了一些截图作为攻击证据,包括护照、身份证和部分员工的个人信息。目前,尚不清楚该组织向受害者索要多少赎金。Black Basta勒索软件 组织 自 2022年4月以来一直活跃,与其他勒索软件操作一样,它实施了双重勒索攻击模型。2. 研究团队发现Chae$ 4.1隐藏在驱动程序中并用多态绕过检测
1月22日,Morphisec 威胁实验室已记录其在 Chae$ 4.1 上的发现,Chae$ 4.1 是 Chae 恶意软件 Infostealer 系列的更新,作为其对新兴网络威胁调查的一部分。该报告探讨了新的 Chae$ 变体,强调了其机制、影响和保护措施。早在 2023 年 9 月,Morphisec 就与 Hackread.com 分享了对 Chae$ 恶意软件新变种(称为 Chae$4)的分析。该恶意软件针对电子商务客户(尤其是巴西客户)的登录凭据、财务数据和其它敏感信息。Chae$4 正在迅速发展,Morphisec 在其最新的 研究博客中提供了 Chae$ 4.1 更新的详细信息,其中包括改进的 Chronod 模块,令人惊讶的是,在源代码中向 Morphisec 团队发送了直接消息。4.1 版本比以前的暴力破解和基本混淆方法有了显着改进。3. 供应链攻击MavenGate劫持不更新仍在用的Java和Android程序
1月22日,一些被放弃但仍在 Java 和 Android 应用程序中使用的公共和流行库被发现容易受到名为 MavenGate 的新软件供应链攻击方法的影响。Oversecured发布的一份分析报告中表示:“对项目的访问可以通过域名购买被劫持,并且由于大多数默认构建配置都很容易受到攻击,因此很难甚至不可能知道是否正在执行攻击。”成功利用这些缺陷可能会允许恶意行为者劫持依赖项中的工件并将恶意代码注入应用程序,更糟糕的是,甚至通过恶意插件危害构建过程。这家安全公司补充说,包括 Gradle 在内的所有基于 Maven 的技术都容易受到攻击,并且它已向 200 多家公司发送了报告,包括 Google、Facebook、Signal、Amazon 等。Apache Maven主要用于构建和管理基于 Java 的项目,允许用户下载和管理依赖项(由其 groupId 唯一标识)、创建文档和发布管理。虽然托管此类依赖项的存储库可以是私有的或公共的,但攻击者可以通过利用添加到已知存储库的废弃库来针对后者进行供应链中毒攻击。4. 恶意 NPM 软件包通过 GitHub 窃取数百个开发人员的SSH密钥
1月23日,在 npm 包注册表中发现的两个恶意包利用 GitHub 来存储从安装它们的开发人员系统中窃取的 Base64 加密的 SSH 密钥。名为warbeast2000和kodiak2k 的模块于本月初发布,分别吸引了412 次和1,281 次下载,随后被 npm 维护者删除。最近一次下载发生在 2024 年 1 月 21 日。发现这一问题的软件供应链安全公司 ReversingLabs 表示,warbeast2000 有 8 个不同版本,kodiak2k 有 30 多个版本。这两个模块都设计为在安装后运行安装后脚本,每个模块都能够检索和执行不同的 JavaScript 文件。当 warbeast2000 尝试访问私有 SSH 密钥时,kodiak2k 旨在寻找名为“meow”的密钥,这增加了威胁行为者在开发早期阶段使用占位符名称的可能性。5. 庞大的网络犯罪帝国VexTrio拥有60多个附属组织和7万多个域
1月23日,VexTrio是一个规模庞大、复杂的恶意TDS(流量引导系统)组织。它拥有一个由 60 多个附属机构组成的网络,将流量转移到 VexTrio,同时它还运营自己的 TDS 网络。尽管不同的研究人员已经发现并分析了各个方面,但核心网络仍然很大程度上未知。例如,ClearFake 和SocGholish是其中的两个附属机构,两者都因其恶意软件而闻名。然而,VexTrio 纯粹是一个流量代理,不与任何恶意软件绑定或识别。附属公司和 VexTrio 之间似乎存在稳定的关系:SocGholish 与 VexTrio 合作至少近两年,而 ClearFake 则始终保持着这样的合作关系。TDS 系统通常用于连接访问者和基于发现的访问者特征的定向广告。恶意 TDS 使用相同的原理连接访问者和恶意网站或页面。这通常是通过破坏网站(通常是 WordPress 网站)并向网站注入恶意代码来实现的。该代码可以在选择下一步操作之前发现访问者的特征。每个附属公司都有自己的 TDS 网络。有些只是将详细信息发送给 VexTrio。其他人将利用一些机会,并将其余的发送到 VexTrio,具体取决于访问者。6. 亚马逊因侵犯员工隐私被法国监管机构罚款 3200 万欧元
1月23日,亚马逊法国物流公司是这家电子商务巨头的子公司,负责管理其在法国的大型仓库,该公司因侵犯员工隐私而被罚款 3200 万欧元(合 3500 万美元)。在对亚马逊法国物流公司的监控系统进行调查后,法国信息监管机构认为该系统“过度侵入”。法国数据监管机构国家信息与自由委员会 (CNIL) 于 2023 年 12 月 27 日向亚马逊通报了罚款情况。随后于 2024 年 1 月 23 日公布。监管机构特别指出了亚马逊员工用来执行多项任务的扫描设备中嵌入的一些功能,包括存储物品、拾取物品和发送包装。这些设备记录与亚马逊产品的性质和状态以及员工活动和绩效相关的所有数据。CNIL 表示,其中一些做法违反了欧盟《通用数据保护条例》(GDPR) 第 5.1 条中引入的数据最小化原则,而其他做法则违反了第 6 条中详述的数据处理合法性。安全动态
Kasseika 勒索软件部署 BYOVD 攻击、滥用 PsExec 并利用 Martini 驱动程序
https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html
隐藏在 PyPI 中的信息窃取包
https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi?&web_view=true
黑客滥用 LSASS 进程内存窃取登录凭据
https://gbhackers.com/hackers-abuse-lsass-process/
Hathway 遭遇数据泄露:4150 万数据泄露
https://securityboulevard.com/2024/01/data-breach-strikes-hathway-41-5m-data-exposed/
Unit 42 揭露 Parrot TDS:持续的网络威胁不断演变
https://meterpreter.org/unit-42-unmasks-parrot-tds-a-persistent-cyber-threat-evolves/
PWN2OWN AUTOMOTIVE 2024 - 完整日程表
https://www.zerodayinitiative.com/blog/2024/1/23/pwn2own-automotive-2024-the-full-schedule
0-Click 漏洞:PoC 通过蓝牙瞄准 Android、Linux、macOS 和 iOS 设备 CVE-2023-45866 缺陷
https://securityonline.info/0-click-exploit-poc-targets-android-linux-macos-and-ios-devices-via-bluetooth-cve-2023-45866-flaw/
“Activator”警报:MacOS 恶意软件隐藏在破解应用程序中,针对加密钱包
https://thehackernews.com/2024/01/activator-alert-macos-malware-hides-in.html
2023 年公共部门网络攻击将增加 40%
https://www.itsecurityguru.org/2024/01/23/public-sector-cyberattacks-rise-by-40-in-2023/?utm_source=rss&utm_medium=rss&utm_campaign=public-sector-cyberattacks-rise-by-40-in-2023
还没有评论,来说两句吧...