1. MITRE 发布嵌入式设备 EMB3D 网络安全威胁模型
5月14日,MITRE 与 Red Balloon Security、Narf Industries 和 Niyo Little Thunder Pearson (ONEGas, Inc.) 合作推出了 EMB3D,这是一种全面的威胁模型,旨在解决关键基础设施领域嵌入式设备面临的日益增长的网络安全风险。嵌入式设备广泛应用于石油和天然气、电力、水管理、汽车、医疗、卫星、自主系统和无人机系统等行业,但往往缺乏适当的安全控制,并且没有对漏洞进行充分的测试。随着复杂的网络对手越来越多地针对这些设备,EMB3D 旨在提供对所构成威胁的共同理解以及缓解这些威胁所需的安全机制。EMB3D 与常见弱点枚举 (CWE)、MITRE ATT&CK®以及常见漏洞和暴露 (CVE) 等现有模型保持一致并进行扩展,但特别关注嵌入式设备。该框架提供了嵌入式设备网络威胁的丰富知识库,包括在现场环境中观察到的、通过概念验证证明的或从理论研究中得出的威胁。https://gbhackers.com/emb3d-cybersecurity-threat-model/
2. 研究团队发现Sliver瞄准macOS并安装后门
5月13日,Sliver 是一款跨平台(Windows、macOS、Linux) 开源对抗框架测试套件,专为“红队”操作而设计,在测试网络防御时模拟对手的行为。其主要功能包括自定义植入生成、命令和控制 (C2) 功能、后利用工具/脚本以及丰富的攻击模拟选项。在 Phylum 发现的最新攻击中,攻击始于一个名为“requests-darwin-lite”的 macOS 恶意 Python 包,它是流行的“requests”库的良性分支。该包托管在 PyPI 上,在带有 Requests 徽标的 17MB PNG 图像文件中包含 Sliver 的二进制文件。在 macOS 系统上安装期间,会执行 PyInstall 类来解码 Base64 编码的字符串,以运行检索系统的 UUID(通用唯一标识符)的命令 (ioreg)。UUID 用于验证包是否安装在实际目标上,并将其与预定义的 UUID 进行比较。当存在匹配时,会从文件偏移处的特定部分读取并提取 PNG 文件内的 Go 二进制文件。Sliver 二进制文件被写入本地文件并修改文件权限以使其可执行,并最终在后台启动。https://www.bleepingcomputer.com/news/security/pypi-package-backdoors-macs-using-the-sliver-pen-testing-suite/
3. INC 勒索软件源代码在黑客论坛上售价 30 万美元
5月13日,一名名为“salfetka”的网络犯罪分子声称正在出售 INC Ransom 的源代码,INC Ransom 是一项于 2023 年 8 月推出的勒索软件即服务 (RaaS) 。INC 此前的目标是施乐商业解决方案公司 (XBS) 的美国分部 、菲律宾雅马哈汽车公司,以及最近的苏格兰 国家医疗服务体系 (NHS)。在涉嫌出售的同时,INC 赎金业务正在发生变化,这可能表明其核心团队成员之间存在裂痕,或者计划进入涉及使用新加密器的新篇章。威胁行为者宣布在 Exploit 和 XSS 黑客论坛上出售 INC 的 Windows 和 Linux/ESXi 版本,要价 30 万美元,并将潜在买家数量限制为三个。根据发现此次销售的 KELA威胁情报专家向 BleepingComputer 提供的信息,论坛帖子中提到的技术细节,例如在 CTR 模式下使用 AES-128 和 Curve25519 Donna 算法,与 INC Ransom 的公开分析一致样品。https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/
4. 谷歌意外删除了价值1250亿美元的养老基金账户
5月13日,谷歌最近犯了一个大错误。该公司不小心删除了价值 1250 亿美元的澳大利亚养老基金 UniSuper 的私人 Google Cloud 账户。结果是:据《卫报》上周报道,超过 50 万 UniSuper 基金会员在大约一周的时间里无法访问自己的账户。UniSuper在另一家云提供商有一个备份帐户,服务于5月2日恢复。虽然谷歌表示,这种错误以前从未在云上发生过,但出现故障和中断的可能性引起了越来越多地将数据转移到云软件提供商的公司和政府的担忧。该公司今年表示,全球 1000 家最大公司中约60% 的公司和 90% 的生成型人工智能独角兽公司都是该公司的客户。全球近 50 万家公司使用 Google Cloud 作为“平台即服务”或面向客户的工具,其中包括大众汽车和加拿大皇家银行。https://qz.com/google-cloud-pension-fund-unisuper-1851472990
5. LockBit Black 勒索攻击活动已发送数百万封电子邮件
5月13日,自 4 月份以来,已通过 Phorpiex 僵尸网络发送了数百万封钓鱼电子邮件,以开展大规模的 LockBit Black 勒索软件活动。正如新泽西州网络安全和通信集成小组 (NJCCIC) 周五警告的那样,攻击者使用包含部署 LockBit Black 有效负载的可执行文件的 ZIP 附件,该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的 LockBit Black 加密器很可能是使用一名心怀不满的开发人员于 2022 年 9 月在 Twitter 上泄露的 LockBit 3.0 构建器构建的。不过,据信该活动与实际的 LockBit 勒索软件操作没有任何关系。这些网络钓鱼电子邮件带有“您的文档”和“您的照片???”主题行使用“Jenny Brown”或“Jenny Green”别名从全球 1,500 多个唯一 IP 地址发送,其中包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。当收件人打开恶意 ZIP 存档附件并执行其中的二进制文件时,攻击链就开始了。https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/
6. 黑客利用 DNS 隧道进行网络扫描和跟踪受害者
5月14日,威胁行为者正在使用域名系统 (DNS) 隧道来跟踪其目标何时打开网络钓鱼电子邮件并单击恶意链接,并扫描网络以查找潜在漏洞。DNS 隧道是对通过 DNS 查询发送和检索的数据或命令进行编码,本质上是将 DNS(基本网络通信组件)转变为隐蔽的通信通道。威胁行为者以各种方式对数据进行编码,例如 Base16 或 Base64 或自定义文本编码算法,因此可以在查询 DNS 记录(例如 TXT、MX、CNAME 和地址记录)时返回它们。黑客通常使用 DNS 隧道来绕过网络防火墙和过滤器,利用该技术进行命令和控制 (C2) 以及虚拟专用网络 (VPN) 操作。还有合法的 DNS 隧道应用程序,例如用于绕过审查制度。最近发现的两个攻击活动分别是TrkCdn和SecShow。https://www.bleepingcomputer.com/news/security/hackers-use-dns-tunneling-for-network-scanning-tracking-victims/
还没有评论,来说两句吧...