朝鲜黑客组织借领英及 AI 手段实施诈骗,窃取千万美元
与朝鲜有关联的黑客组织 Sapphire Sleet 在过去六个月内,通过在领英上的社会工程活动,估计窃取了价值超 1000 万美元的加密货币。微软发现多个与朝鲜有关的威胁活动集群在领英创建假资料,伪装成招聘者与求职者。Sapphire Sleet 自 2020 年起活跃,与 APT38 和 BlueNoroff 有重叠,曾建立模仿技能评估门户的基础设施。
其诈骗手段多样,常伪装成风险投资家,以对目标公司感兴趣为由设在线会议陷阱,当受害者尝试连接会议遇错时,会收到据操作系统而定的 AppleScript 或 Visual Basic Script 文件,用于下载恶意软件到其 Mac 或 Windows 设备,以获取凭证和加密货币钱包。还会伪装成金融公司招聘人员,让目标在其控制网站完成技能评估,借此将恶意软件下载到目标设备以入侵系统。
此外,朝鲜派遣大量 IT 工人出国,他们借助中间人获取平台访问权来申请远程工作,在 GitHub 和领英等平台创建假资料与作品集求职,使用 AI 工具如 Faceswap 修改窃取的照片和文件用于简历,还试验变声软件等其他 AI 技术,在追踪款项方面表现得组织有序,已赚取至少 37 万美元,形成了通过“合法”工作赚钱、窃取知识产权、进行数据盗窃换赎金的三重威胁局面。
多款 D-Link 停产路由器漏洞:攻击者可远程执行代码
近日,知名网络硬件制造商 D-Link 发布重要安全公告。由于存在严重的远程代码执行(RCE)漏洞,其敦促用户淘汰并更换多款已停产的 VPN 路由器型号。
此次受影响的设备涵盖 DSR - 150、DSR - 150N、DSR - 250、DSR - 250N、DSR - 500N 和 DSR - 1000N 路由器的全系列硬件版本。据了解,该漏洞由安全研究员 “delsploit” 发现,源于栈缓冲区溢出问题,这使得未经身份验证的用户能够在受影响设备上执行远程代码,严重威胁网络安全。
D-Link 未对该漏洞分配 CVE 标识符,或旨在防范漏洞被大规模利用。多数受影响型号已于 2024 年 5 月 1 日终止服务,其中 DSR - 500N 和 DSR - 1000N 早在 2015 年便已停产。按照公司政策,对于已停产产品,D - Link 将停止所有固件开发与支持工作,因此这些设备不会再有安全更新。
对此,D - Link 强烈建议用户立即停用相关路由器,并警示继续使用可能使连接设备面临重大风险。对于执意继续使用的用户,公司给出了一些安全建议,如安装最新固件、定期更新设备密码,并启用独立密码的 Wi - Fi 加密。为帮助美国地区受影响的客户,D - Link 为新款 DSR - 250v2 4 端口统一服务 VPN 路由器提供 20% 的折扣优惠。然而,这对于无法或不愿立即升级设备的用户来说,其安全隐患依然存在。
值得注意的是,这并非个例。本月早些时候,D - Link 就因未处理数千台停产 NAS 设备的严重漏洞而饱受诟病,当时已有报告称该漏洞已被利用。这一系列事件凸显了老旧网络设备安全维护的艰难处境,也引发了人们对制造商在旧设备安全责任方面的思考。在网络威胁持续演变的今天,用户在追求最新网络安全保障与延长硬件使用寿命之间,面临着愈发艰难的抉择。
黑客利用谷歌文档和 Weebly 服务攻击电信行业
2024 年 10 月下旬,EclecticIQ 的网络安全研究人员发现了一场针对电信和金融行业的复杂钓鱼活动。
攻击者采用了巧妙策略,利用谷歌文档来传递钓鱼链接,这些链接会将受害者重定向到 Weebly(一个流行的网站建设服务平台)上托管的虚假登录页面。他们借助谷歌域名的可信声誉绕过标准的邮件过滤器和端点保护,通过在谷歌文档中嵌入恶意链接,利用大众对常用平台的固有信任,提高用户点击的可能性。
Weebly 的合法基础设施在此次活动中起到关键作用:其低成本托管和易用性吸引了受经济利益驱使的威胁行为体;已建立的声誉有助于避开反钓鱼扫描仪;攻击者还能避免使用自托管服务器的复杂性。
此次活动展现出高度定制化,钓鱼页面精心设计,模仿如 AT&T 等特定品牌以及各类金融机构的登录门户,这种针对特定行业的做法增加了钓鱼诱饵的可信度。其具备诸多关键特征,如使用 Weeblysite 域名、为多个行业定制钓鱼页面、采用动态 DNS 基础设施实现频繁的 URL 轮换、同时针对欧洲、中东、非洲(EMEA)和美洲(AMER)地区等。
为提高成功率,攻击者实施了假的多因素认证(MFA)提示,紧密模仿合法的安全步骤。钓鱼页面还融入了 Snowplow Analytics 和谷歌 Analytics 等合法跟踪工具,以便攻击者监控受害者参与情况、收集交互数据并随着时间推移改进钓鱼技术。
除钓鱼外,攻击者还利用 SIM 卡替换技术攻击电信账户,获取账户凭证后可发起 SIM 卡替换,拦截基于短信的 MFA 代码及与受害者账户相关的其他通信。
为应对此类复杂攻击,组织应实施高级的云共享文档邮件过滤、主动的 DNS 监测、强制的多因素认证(MFA)及规范凭证管理、钓鱼工具包痕迹检测系统等措施。专家敦促各组织必须保持警惕,调整安全措施以对抗这些先进的钓鱼策略。
多个国家为黑客 “松绑”,推动网络安全新变革
近年来,越来越多的国家开始为黑客“松绑”,但此“松绑”并非纵容恶意攻击,而是在特定条件下对部分黑客行为的重新规范.
2022年,美国司法部修订《计算机欺诈和滥用法》,不再以该法起诉有着“改善技术”愿景的白帽黑客.2023年,比利时通过“吹哨人”法案,赋予白帽黑客行为正当性,免除其刑事责任,即使未获攻击目标同意,只要满足善意测试、调查和纠正安全漏洞,上报漏洞,且访问系统仅限于识别漏洞必需程度等条件.
2024年,德国联邦司法部起草了一项法律,为白帽黑客提供法律保护。白帽黑客在检测并弥补IT安全漏洞时的行为将不再承担刑事责任,也不会面临被起诉的风险. 该法律规定,白帽黑客的行为需符合以下条件才不会被追究责任:一是善意目的性,行为必须是出于善意测试、调查和/或纠正安全漏洞;二是漏洞需上报,必须有意向将发现的安全漏洞报告给能够解决问题的相关实体;三是行为必需性,对系统的访问必须仅限于识别漏洞所必需的程度.此外,德国法律还明确规定同样的刑事责任豁免也适用于与数据拦截和数据相关的犯罪行为,但涉及到数据修改或者删减的行为需要经过授权.
这些国家为黑客“松绑”,主要是为了提升网络安全防护能力,应对日益复杂的网络威胁.白帽黑客可凭借专业技术发现系统安全漏洞,帮助企业和政府提前解决潜在风险,其参与也能为网络安全防御提供新思路,推动网络安全技术创新发展.
然而,“松绑”也存在潜在风险,可能有不法分子借此从事违法犯罪活动.因此,各国需完善法律法规,明确行为边界和责任,建立监管和审查机制,同时加强对黑客的教育和培训,提高其法律意识和职业道德水平.
安全与不安全的端口服务
“不安全端口” 部分:
包含多个网络服务及其对应的端口号,包括 FTP(21 端口)、TELNET(23 端口)、SMTP(25 端口)、TIME PROTOCOL(37 端口)、HTTP(80 端口)等。这些服务存在安全风险,例如 FTP 会以明文形式发送用户名和密码,TELNET 所有信息都是明文传输,SMTP 数据未加密,容易被网络嗅探发现等。
“安全端口” 部分:
包含多个网络服务及其对应的端口号,如 SFTP(22 端口)、SSH(22 端口)、NTP(123 端口)等。这些服务采用了加密机制来保护用户凭证和传输的数据,例如 SSH 在 22 端口上使用加密,确保终端和主机之间的通信不以明文形式发送。
需要强调的是,虽然 “安全” 的端口服务在设计上采用了安全机制,但如果在使用过程中配置不当或存在其他漏洞,仍然可能导致不安全的情况发生。例如在使用加密协议时,如果密钥管理不善或者存在软件漏洞,数据安全依然会受到威胁。
Detect Sitecore RCE (CVE-2024-46938) with Nuclei 🚀
Nuclei Template:
https://cloud.projectdiscovery.io/?template=CVE-2024-46938 by @DhiyaneshDK
Research:
https://assetnote.io/resources/research/leveraging-an-order-of-operations-bug-to-achieve-rce-in-sitecore-8-x---10-x by @assetnote
知识大陆:
关注东方隐侠安全团队 一起打造网安江湖
东方隐侠安全团队,一支专业的网络安全团队,将持续为您分享红蓝对抗、病毒研究、安全运营、应急响应等网络安全知识,提供一流网络安全服务,敬请关注!
公众号|东方隐侠安全团队
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...