- BlackCloak发现针对加密投资的风险投资和私募股权公司的网络威胁增加
- 谷歌Gemini AI存在漏洞,攻击者可控制用户查询
- 微软Outlook存在高危远程代码执行漏洞,已发布补丁
FINTRAC遭遇网络安全事件
Tag:网络安全事件, 加拿大网络安全中心
事件概述:
过去的24小时里,加拿大金融交易和报告分析中心(FINTRAC)正在处理一起网络安全事件。据FINTRAC声明,这次事件并未涉及其情报或分类系统。作为预防措施,FINTRAC已将其企业系统脱机,以确保其完整性并保护中心维护的信息。FINTRAC正在与其联邦伙伴,包括加拿大网络安全中心(Cyber Centre),紧密合作,以保护和恢复其系统。在这次网络安全事件中,FINTRAC采取了预防措施,将其企业系统脱机,这是一个有效的应急响应,可以防止潜在的数据泄露和系统破坏。同时,FINTRAC与其他联邦机构,如加拿大网络安全中心,紧密合作,共享威胁情报,以便更好地应对和恢复网络攻击。这次事件再次强调了多因素身份验证、威胁情报共享和自动化安全措施的重要性。尽管此次事件并未涉及情报或分类系统,但任何网络安全事件都可能对组织的运营产生重大影响,因此,组织应采取积极的安全策略,以防止和应对可能的网络安全事件。来源:
https://fintrac-canafe.canada.ca/new-neuf/statement-declaration-eng
BlackCloak发现针对加密投资的风险投资和私募股权公司的网络威胁增加
Tag:BlackCloak, SIM卡交换
事件概述:
BlackCloak威胁情报团队正在观察并确定针对投资加密货币的风险投资和私募股权公司的网络犯罪分子部署的新策略。这些恶意行为者不仅专注于公司本身,还扩大了他们的影响范围,包括个人、他们的合作伙伴以及参与加密基金或钱包的个人有限合伙人(LP)。自2024年初以来,BlackCloak注意到了一个显著的上升趋势,表明网络犯罪分子正在改进他们的策略,现在针对与风险投资和私募股权公司有关的个人,特别是那些投资加密货币的人。这些恶意行为者从数据经纪网站收集个人信息,获取目标的个人手机号码和电子邮件地址。然后,他们确定服务提供商,然后对个人的手机运营商发动攻击,试图进行SIM卡交换或电话号码的端口转发。SIM卡交换或端口转发涉及到恶意行为者说服你的移动运营商将你的电话号码转移到他们控制的SIM卡上。通过转移你的消息和电话,他们可以获得关键的两因素认证(2FA)代码,并可以轻易地侵入你的加密货币账户。成功的SIM卡交换使这些骗子能够截取用于2FA的短信,将这些消息重新路由到他们控制的设备。这种侵入使他们试图获得钱包或加密账户的访问权限。一旦进入,他们就可以转移加密货币,迅速将数字资产转化为流动形式。这种卑鄙的方法针对的是已知与加密货币行业有关的个人,增加了那些在加密货币中有个人投资的人的风险。SIM卡交换的后果严重。受害者发现自己被锁在自己的设备和账户之外,他们的资产被迅速窃取。加密货币交易中没有退款选项,这意味着一旦被盗,这些资产通常无法找回。来源:
https://unsafe.sh/go-227713.html
法国政府遭遇前所未有的强烈网络攻击
Tag:网络攻击, 危机小组
事件概述:
法国总理加布里埃尔·阿塔尔的办公室于2024年3月11日周一表示,多个法国政府机构遭受了“前所未有的强烈”网络攻击,但政府已经能够控制住攻击的影响。从周日开始,“许多部门服务成为目标”,使用的是熟悉的技术手段,但强度前所未有。安全源告诉法新社,目前无法将这些攻击归咎于俄罗斯,尽管许多人认为俄罗斯是明显的嫌疑人,因为巴黎自乌克兰被侵略以来一直支持基辅。总理的工作人员补充说,已经激活了一个“危机小组”来部署对策,这意味着“这些攻击的影响对大多数服务已经减少,国家网站的访问已经恢复。” 这次网络攻击的强度和范围显示出网络安全威胁的严重性。政府和企业应采取多因素认证、威胁情报共享和自动化安全措施等技术手段来防御这类攻击。在这次攻击中,法国政府通过激活危机小组和部署对策,成功地减少了攻击的影响和损失。这表明,及时有效的应对措施对于抵御网络攻击至关重要。同时,这也强调了信息安全机构在网络攻击防御中的重要作用。他们通过实施过滤措施,成功地控制了攻击的影响,直到攻击结束。总的来说,这次事件再次提醒我们,网络安全不仅仅是技术问题,也是战略问题,需要政府、企业和个人共同努力,采取有效措施,提高防御能力。 来源:
https://www.lemonde.fr/en/pixels/article/2024/03/11/french-state-services-hit-by-intense-cyberattack-pm-s-office-says_6608164_13.html
美国能源部发布公用事业和分布式能源的网络安全基准
Tag:网络安全基准, 分布式能源
事件概述:
2024 年 2 月 22 日,美国能源部宣布支持发布配电系统和分布式能源(“DER”)的网络安全基准。该计划由美国能源部网络安全、能源安全和应急响应办公室(“CESER”)与美国公用事业监管委员会协会(“NARUC”)合作资助。这些基线列出了分布式能源运营商、公用事业公司和其他配电系统应满足的最低自愿标准,以帮助减轻网络安全风险并增强电网安全。公布的基线结束了两阶段计划的“第一阶段”,“第二阶段”将向各实体提供明年实施和采用基线的战略建议。随着电网变得越来越分散并且容易受到物理和网络攻击,2023 年发布的 国家网络安全战略将能源网络安全确定为能源部关注的一个领域。目前的监管方法需要对分布式能源运营商和公用事业公司的能源网络安全进行州级监督,但由于各州之间缺乏协调,电网面临风险。该倡议的第一阶段为各州提供了统一的全国网络安全基线,这些基线可以与美国的能源网络安全方法保持一致,而不是依赖现有的拼凑监管框架。 该计划的第一阶段只是全国范围内努力确保电网与分布式能源(包括风能和太阳能)整合过程中的一个单一步骤。鉴于能源部门面临的威胁日益增加,国家网络安全战略预计将围绕能源网络安全提出更多联邦举措。
来源:
https://foleyhoag.com/news-and-insights/blogs/energy-and-climate-counsel/2024/march/us-department-of-energy-releases-cybersecurity-baselines-for-utilities-and-ders/
Anycubic打印机遭受网络攻击,237台设备受影响
Tag:MQTT服务器, 物联网设备
事件概述:
Anycubic公司于2月26日收到用户邮件,提醒其MQTT服务器存在安全漏洞。到2月27日,多个用户报告他们的Anycubic Kobra 2 Pro/Plus/Max打印机屏幕上出现了“hacked_machine_readme.gcode”文件。目前,共有237台设备受到了影响,初步发现有超过2000台设备收到了这个文件。调查日志后发现,这些打印机接收到了来自另一个云服务器(非Anycubic服务器)的远程命令,下载“message.txt”文档,并将其重命名为“hacked_machine_readme.gcode”。Anycubic确认,这个事件是由第三方利用MQTT服务器的安全漏洞访问用户打印机造成的。Anycubic的打印机在网络安全方面遭受了攻击,这次事件再次提醒我们,物联网设备的安全问题不容忽视。MQTT服务器是一种物联网通信协议,它在物联网设备中被广泛应用,但是,如果没有正确配置,就可能存在安全漏洞,被黑客利用。在这次事件中,黑客利用了MQTT服务器的安全漏洞,控制了打印机,让其下载并显示了恶意文件。这种攻击方式虽然没有直接造成数据泄露,但是,如果黑客的目的不仅仅是恶作剧,而是窃取数据,那么后果将不堪设想。因此,对于物联网设备的安全,我们必须给予足够的重视,采取有效的安全措施,包括多因素身份验证、威胁情报共享和自动化安全措施等,以防止类似的安全事件再次发生。来源:
https://store.anycubic.com/blogs/news/security-issue-of-anycubic-cloud
Fenix僵尸网络:针对拉丁美洲的新型网络威胁
Tag:Fenix僵尸网络, 远程访问木马(RAT)
事件概述:
2024年1月,eSentire的威胁响应单位(TRU)揭示了一场针对拉丁美洲用户的复杂恶意软件攻击。这个狡猾的计划以Fenix僵尸网络为中心,采用狡猾的策略来危害受害者并造成重大的经济损失。攻击开始于一个欺诈性的诱饵。受害者被诱骗访问一个伪装得像墨西哥政府官方网站的网站。在那里,他们被误导下载一个被展示为合法工具的恶意ZIP档案。一旦档案被下载和执行,一个远程访问木马(RAT)就会被秘密安装。这个RAT拥有窃取信息的能力,并迅速地将被危害的机器纳入Fenix僵尸网络。最令人不安的是Fenix的专门功能,设计用来针对拉丁美洲的金融机构。这个活动中使用的RAT装备用来监视银行活动和截取敏感凭证。这直接威胁到该地区个人和企业的经济福祉。攻击的技术细节包括:社交工程,恶意载荷,混淆和交付,Shellcode执行,载荷演变。其中,NarniaRAT和BotnetFenix两种载荷各有其邪恶的目标。NarniaRAT细致地从敏感的系统位置收集文件,获取有价值的计算机信息,秘密地捕获屏幕截图和记录键盘敲击。BotnetFenix是一个强大的工具,用于执行远程命令。它可以下载额外的载荷,运行PowerShell脚本,甚至部署一个专门的凭证窃取器。来源:
https://securityonline.info/fenix-botnet-a-new-cyberthreat-targeting-latin-america/
俄罗斯黑客持续攻击微软,获取源代码
Tag:Midnight Blizzard组织, 远程访问木马(RAT)
事件概述:
俄罗斯国家支持的恶意行为者,被称为Midnight Blizzard组织(又名Nobelium,Cozy Bear,和APT29),再次对IT巨头微软发起攻击,这次他们利用之前窃取的信息访问了公司的源代码库和其他内部系统。该组织自今年1月份就被发现在微软的邮件系统中,并且自那时起一直在进行持续的、精心策划的攻击活动,2月份的攻击活动比1月份已经大幅增加。尽管如此,微软安全响应中心(MSRC)在博客文章中写道,他们“没有发现证据表明微软托管的面向客户的系统已被破坏”。Midnight Blizzard组织正在试图利用他们找到的各种类型的秘密,其中一些秘密是通过邮件与微软和客户共享的,微软在发现这些秘密后,已经并且正在联系这些客户,协助他们采取缓解措施。Midnight Blizzard组织的持续攻击涉及到“威胁行为者资源的持续、显著的承诺、协调和关注”,这表明恶意行为者可能正在使用已经窃取的信息来整合攻击区域的图像,并提高其攻击能力。这反映了全球威胁景观的前所未有的变化,尤其是在复杂的国家级攻击方面。Midnight Blizzard组织与俄罗斯外国情报局(SVR)有关,并且已经存在了十多年。他们最为人所知的是对SolarWinds的高调软件供应链攻击。这个威胁组织于2019年首次侵入SolarWinds的系统,但直到2020年才被检测到。在此期间,Midnight Blizzard在SolarWinds的Orion软件中放置了一个远程访问木马(RAT),该软件被广泛用于管理IT系统,包括商业企业和美国政府机构在内的超过30,000个客户。 来源:
https://unsafe.sh/go-227034.html
谷歌Gemini AI存在漏洞,攻击者可控制用户查询
Tag:Gemini AI, LLM提示泄漏
事件概述:
隐藏层的研究人员揭示了谷歌Gemini AI中一系列的漏洞,这些漏洞可能允许攻击者操纵用户查询并控制大型语言模型(LLMs)的输出。这一发现引发了对AI驱动的内容生成的安全性和完整性,以及其对误导信息传播和数据隐私的影响的担忧。Gemini套件是谷歌最新进入LLMs领域的产品,包括三种不同的模型大小:Nano,Pro和Ultra。尽管由于生成政治偏见内容而最近被停止服务,但隐藏层识别的漏洞揭示了恶意行为者可能利用的威胁的新维度。隐藏层的研究突出了Gemini模型中的几个关键问题,包括:LLM提示泄漏:这种漏洞可能允许攻击者访问敏感数据或系统提示,对数据隐私构成重大风险。LLM提示泄漏越狱:通过绕过模型的保护措施,攻击者可以操纵AI生成误导信息,尤其是关于选举等敏感话题的信息。间接注入:攻击者可以通过Google Drive等平台注入的延迟有效载荷间接操纵模型的输出,进一步复杂化了此类威胁的检测和缓解。谷歌的Gemini AI中的漏洞具有深远的影响,影响广泛的用户:一般公众:直接生成误导信息的可能性直接威胁到公众,破坏了对AI生成内容的信任。公司:使用Gemini API进行内容生成的公司可能面临数据泄漏的风险,危及敏感的公司信息。政府:关于地缘政治事件的误导信息的传播可能对国家安全和公共政策产生严重影响。来源:
https://gbhackers.com/googles-gemini-ai-vulnerability/微软Outlook存在高危远程代码执行漏洞,已发布补丁
Tag:CVE-2024-21378, Outlook
事件概述:
安全研究人员在微软的Outlook中发现了一个高危漏洞(CVE-2024-21378,CVSS 8.8),该漏洞允许攻击者在受影响的系统上执行恶意代码,可能使他们获得广泛的控制权。漏洞根源在于Outlook表单对象的同步机制,尤其是通过IPM.Microsoft.FolderDesign.FormsDescription对象。这些对象具有特殊的属性和附件,可以在客户端首次使用时“安装”表单。攻击者可以利用这个漏洞,通过修改Ruler(一个Outlook渗透测试工具)来实现漏洞的利用。微软已经发布了补丁,并提供了检测和修复Outlook规则和表单滥用的指导,以帮助防御团队保护他们的组织。CVE-2024-21378漏洞的利用过程涉及一系列步骤,从实例化特定消息类开始,最后加载表单作为COM对象。关键问题包括任意磁盘写原语和为表单创建注册表键的能力,从而实现恶意DLL的安装,进而实现远程代码执行。NetSPI的研究人员通过使用被泄露的访问令牌来验证Exchange在线,并同步包含要执行的任意COM兼容本地DLL的属性的表单,实现了CVE-2024-21378的利用。然而,这个过程带来了一些操作安全问题,包括触发表单需要用户交互,监控众所周知的FORMS目录,以及由Outlook进程执行的注册表更改。研究人员计划发布一个包含CVE-2024-21378 PoC代码的公共分支。微软已经发布了补丁来缓解这个漏洞,并发布了关于检测和修复Outlook规则和表单滥用的指导。来源:
https://securityonline.info/cve-2024-21378-poc-exploit-microsoft-outlook-rce-flaw/
黑猫黑客组织再度复活,对Change Healthcare发动重大攻击
Tag:黑猫(BlackCat)黑客组织, 勒索软件
事件概述:
近日,Trustwave观察到黑猫(BlackCat)黑客组织在2023年12月被美国司法部打击后再度复活。黑猫在2024年2月21日对Change Healthcare发动了重大攻击,该公司是Optum的一部分,由UnitedHealth Group拥有。黑猫宣称从Change Healthcare窃取了6TB的数据。这次攻击导致处理付款索赔的延迟,迫使客户为服务自付费用,甚至在某些情况下无法提供处方药。黑猫巧妙地利用了合法的远程访问工具和独特的令牌,执行了一种复杂的勒索软件变种。
黑猫的攻击手法主要包括利用合法的远程会话管理软件(如Total Software Deployment和ScreenConnect)进行初始访问,然后禁用目标环境的安全软件,最后部署黑猫勒索软件的变种。黑猫勒索软件的部署是通过与此勒索软件变种相关联的独特访问令牌来进行的,这确保了目标和隐秘的感染过程。这些令牌可能为勒索软件提供了在受损网络内执行和传播的必要权限。黑猫勒索软件二进制文件需要64字符的十六进制访问令牌进行执行,没有此令牌,二进制文件将无法执行。此外,黑猫二进制文件还提供了自解释和直接的帮助命令。这些命令表明,黑猫的焦点在于减少环境中的噪声,并根据受害者定制攻击。来源:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-blackcat-ransomware/
PLAY勒索软件团伙再度威胁网络安全,瑞士政府机构遭大规模数据泄露
Tag:PLAY勒索软件团伙, 瑞士国家网络安全中心(NCSC)
事件概述:
根据美国联邦调查局(FBI)的最新更新,臭名昭著的PLAY勒索软件团伙再次成为头条新闻,他们被指控针对超过300个组织进行攻击。最近,该团伙在谷歌上引起了轩然大波,因为他们涉嫌从瑞士政府机构泄露了超过65,000份文件。瑞士国家网络安全中心(NCSC)已确认此事件,并承认黑客释放了敏感数据。据报道,PLAY勒索软件团伙在2023年5月渗透了技术服务提供商Xplain的计算机网络,从其服务器上访问了大量数据集。然而,由于他们的赎金要求未得到满足,他们继续泄露并向感兴趣的第三方出售全部被泄露的信息。
PLAY勒索软件团伙的作案方式通常涉及黑入企业网络并要求解密文件的赎金。然而,自2022年9月以来,他们已将策略升级为包括双重勒索攻击。在这些情况下,他们不仅加密文件,还威胁要暴露敏感信息,如果他们的赎金要求没有得到满足。令人担忧的是,FBI在2022年11月的报告中强调了该团伙转向针对政府网络的趋势。此外,报告还暗示,该团伙的主要目标已经演变为收集情报,以便将获取的数据出售给代表敌对国家(如朝鲜、伊朗、俄罗斯)运营的国家资助的犯罪组织。来源:
https://www.cybersecurity-insiders.com/play-ransomware-leaks-swiss-government-data-comprising-sensitive-information/?utm_source=rss&utm_medium=rss&utm_campaign=play-ransomware-leaks-swiss-government-data-comprising-sensitive-information- END -
还没有评论,来说两句吧...