ANTC-威胁情报安全公告 2022年第三十一周

2022年8月24日 275点热度 0人点赞 0条评论

信息安全新闻


图片

一、科学家发现新漏洞:利用手机陀螺仪窃取气隙系统的数据

一位擅长以各种创新方式从断网设备中提取数据的安全研究专家近日发现了一个新漏洞,可以使用手机窃取气隙系统的数据。气隙系统(air gapped)指的是,将电脑与互联网以及任何连接到互联网上的电脑进行隔离。该系统在物理上是隔离的,无法与其他计算机或网络设备进行无线或物理连接。

气隙系统主要用于关键基础设施以及其他对网络安全有极高要求的场所。虽然气隙系统在日常环境中并不常见,但是近年来也出现了针对这种系统的攻击方式,例如使用附近智能手机的麦克风接收数据的 Mosquito 攻击。

因此,Apple 和 Google 在 iOS 和 Android 中引入了权限设置,阻止应用程序访问设备的麦克风,并且当麦克风处于活动状态时,这两种操作系统都会使用视觉指示器。

和麦克风不同,在大部分现代化智能手机中陀螺仪已经是标准配置。陀螺仪用于检测智能手机的旋转速度,并被广泛认为是一种更安全的传感器,因为 iOS 或 Android 都没有指示它们何时被使用,也没有提供完全阻止访问的选项。

现在,Mosquito 攻击的创造者有了一项新技术,它使用智能手机的陀螺仪来接收附近听不见的声波,整个过程不依赖于麦克风。

本古里安大学网络安全研究中心的研发负责人 Mordechai Guri 在他最新的研究论文中表示,这种被他称为“Gairoscope”的新攻击可以在“几米远”的范围内从气隙计算机中窃取敏感信息。

与针对气隙系统的其他攻击一样,Guri 的“Gairoscope”概念验证需要非常接近气隙系统。但是从那里,攻击者可以通过侦听从气隙系统的扬声器产生的声波并从附近智能手机的陀螺仪中拾取来收集密码或登录凭据。

Guri 说,这些听不见的频率会产生“智能手机陀螺仪内的微小机械振荡”,可以将其转换为可读数据。他补充说,攻击者可以使用移动浏览器执行漏洞利用,因为可以使用 JavaScript 访问手机陀螺仪。

虽然该方法仍处于试验阶段,但 Guri 和他的团队建议了一些旨在限制新恶意软件影响的对策,例如消除扬声器以创建无音频网络环境,并使用音频硬件过滤掉音频硬件产生的共振频率。

引用自:

https://www.cnbeta.com/articles/tech/1308531.htm

二、恶意程序正潜入盗版3DMark等软件进行传播

Bleeping Computer网站8月23日消息,网络安全研究人员发现了多个恶意软件传播活动,目标针对下载盗版软件的互联网用户。

该活动使用 SEO 投毒和恶意广告推高这些“带毒”的共享软件网站在 Google 搜索结果中的排名,据发现此事件的Zscaler 称,这些盗版软件包括了3DMark、Adobe Acrobat Pro等时下热门应用。多数情况下,这些软件安装程序的恶意可执行文件位于文件托管服务上,因此登陆页面将受害者重定向到其他服务以下载这些文件。

这些传播恶意文件的重定向站点名称不那么花哨,并且位于“xyz”和“cfd”顶级域上。下载的文件包含一个 1.3MB、有密码保护的 ZIP 文件,以此来逃避 AV 扫描,此外还附带一个包含解密密码的文本文件。由于采用字节填充技术,ZIP解压后的文件大小有600M,这是许多恶意软件遵循的常见反分析做法,其中包含的可执行文件是一个恶意软件加载程序,它会生成一个编码的 PowerShell 命令,该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe),以逃避沙盒分析。

cmd.exe 进程会下载一个 JPG 文件,该文件实际上是一个 DLL 文件,其内容反向排列。加载程序以正确的顺序重新排列内容,派生出最终的 DLL,即 RedLine Stealer 有效负载,并将其加载到当前线程中。

RedLine Stealer是一种强大的信息窃取恶意软件,它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等。

今年6月,FreeBuf也曾报道过类似事件,信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播。

为了避免上述情况发生,用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。

引用自:

https://www.freebuf.com/news/342855.html


三、勒索软件LockBit旗下站点因泄露Entrust数据遭到DDoS报复攻击

勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭,这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬,数字安全机构 Entrust 确认在今年 6 月遭到网络攻击,攻击者从网络中窃取了部分数据。

当时消息人士告诉 BleepingComputer,这是一次勒索软件攻击,但我们无法独立确认背后的原因。上周末,LockBit 宣布对本次攻击负责,并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图,显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久,研究人员开始报告说,勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天,安全研究小组 VX-Underground 从 LockBitSupp(LockBit 勒索软件运营的公众账号)处获悉,其 Tor 站点遭到了攻击,而且他们认为和 Entrust 有关联。

LockBitSupp 表示:“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了,很显然这是 Entrust 的手笔,不然还有谁需要呢?此外,在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出,攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息,告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示,对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复,LockBit 的数据泄露站点现在显示一条消息,警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传,这将使其几乎不可能被删除。

此外,威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明,最初的赎金要求为 800 万美元,后来降至 680 万美元。

引用自:

  https://www.cnbeta.com/articles/tech/1307537.htm


重要漏洞通告


01

Apache Flume输入验证错误漏洞

漏洞概述 

   Apache Flume是美国阿帕奇(Apache)基金会的一种分布式、可靠且可用的服务。用于高效收集、聚合和移动大量日志数据。
  Apache Flume 1.4.0至1.10.0之前的版本存在安全漏洞,该漏洞源于攻击者控制配置使用带有JNDI
LDAP数据源URI的JMS Source的LDAP服务器时容易受到远程代码执行(RCE)攻击。目前没有详细的漏洞细节提供。

漏洞影响

  Apache Apache Flume >=1.4.0,<1.10.0

漏洞等级

  高危   

解决方法

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/qkmt4r2t9tbrxrdbjg1m2oczbvczd9zn

  引用自:
  https://www.cnvd.org.cn/flaw/show/CNVD-2022-59202

02

IBM CICS TX跨站请求伪造漏洞

漏洞概述

  IBM CICS TX Advanced是美国IBM公司的一个综合的、单一的事务运行时包。可以为独立应用程序提供云原生部署模型。
  IBM CICS TX Advanced 11.1版本存在安全漏洞,该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。

漏洞影响

  IBM CICS TX Advanced 11.1

漏洞等级

  高危

解决方法

  厂商已发布了漏洞修复程序,请及时关注更新:

https://www.ibm.com/support/pages/node/6608194

  引用自:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-56968


03

SAP SuccessFactors权限提升漏洞

漏洞概述

  SAP SuccessFactors是德国思爱普(SAP)公司的一个基于云的Hcm软件应用程序。
  SAP SuccessFactors存在权限提升漏洞,该漏洞源于应用程序端点配置错误。攻击者可利用该漏洞提升权限,读取或写入附件,损害了应用程序的机密性和完整性。

漏洞影响 

  SAP SAP SuccessFactors 8.0.5

漏洞等级
  高危
解决方法

  厂商已发布了漏洞修复程序,请及时关注更新:

https://launchpad.support.sap.com/#/notes/3226411

  引用自:
 
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56955

最新恶意软件通告


       

1.AgentTesla新活动针对多个国家发起钓鱼攻击


概述

攻击者于8月中旬开始针对南美和欧洲的企业传播用于信息窃取的恶意软件AgentTesla,该活动于2022年8月12日星期五开始,针对西班牙、葡萄牙、罗马尼亚等多个国家的用户,迄今为止,已发送超过26000封电子邮件,此后接连在德国、意大利、法国、阿根廷、瑞士发起了一系列攻击。 
AgentTesla主要传播方式为从欺骗性电子邮件地址发送带有恶意附件的网络钓鱼电子邮件,旨在追踪有关受害者计算机和存储在浏览器中的登录凭据的信息。
其中电子邮件从属于消费者和企业的有效电子邮件地址发送,发送给大部分互联网上企业,其发送内容仅有一行文字“Get
Outlook for
Android”,并根据收件人所在的位置进行本地化。电子邮件的主题和附件以各种语言命名为“草拟合同”,附件的扩展名是.IMG
或.ISO,其实际上是一个磁盘映像文件,打开后,会出现一个窗口并在后台触发一系列动作,从而导致感染。此外,该文件包含一个混淆的JavaScript部分。此JavaScript启动PowerShell命令下载最终的有效负载。后台最终的有效载荷为一个PowerShell脚本,可以删除并运行AgentTesla恶意软件,但其伪装成对JPG图像的请求以规避防火墙、入侵检测系统和恶意软件分析人员。AgentTesla执行后立即收集计算机中的凭据,并发送到攻击者控制下的FTP
服务器。

应对措施

防范:(1)使用网络安全设备或组件阻断相关指示器;(2)不要下载来历不明或可疑电子邮件中的文件;(3)使用反恶意软件程序或其他安全策略来阻止恶意有效负载启动。

用自:https://redqueen.tj-un.com/IntelDetails.html?id=9c20fd98e0ad429d962153befa411d6f

2.恶意软件BugDrop试图绕过谷歌安全控制


概述

近几年,Android恶意软件的流行成为了银行领域的主要威胁来源。Android
Droppers等主要的Android银行木马正成为在受害者设备上部署恶意软件的最可靠和首选的方式,他们主要通过绕过Google
Play商店等官方市场采取的安全措施以部署其有效载荷。 
  最近,研究人员发现了一个正在开发中的dropper,并将其命名为BugDrop,BugDrop是一个新的Android释放器,该应用程序伪装成QR码阅读器,旨在绕过谷歌操作系统中实施的安全功能。一旦完成,该产品将成为犯罪分子危险武器库中的另一种武器,甚至使Google的解决方案失效。BugDrop的一项攻击活动中,特别是通过社交应用程序WhatsApp发送消息的活动中,其默认国家代码设置为+92,对应于巴基斯坦,该信息一定程度上表明了该dropper未来可能的目标区域。
  BugDrop释放器的开发者为Hadoken
Security网络犯罪组织,该组织至少从2021年底开始就一直活跃,使用了多个恶意软件家族,包括Dropper
Gymdrop和Xenomorph银行木马。这两个恶意软件家族对银行机构和银行客户等都构成高度威胁,第一个被多个恶意软件家族用作分发手段,而第二个是具有设备上欺诈功能的非常先进的银行木马。
  最近,研究人员注意到恶意软件家族
Xenomorph的最新样本中一些不寻常的地方。近几月中,该恶意软件家族的新活动主要出现在Google
Play商店中,主要采用Xenomorph的新改进版本,并增加了RAT功能,致使恶意软件能够在受感染的设备上执行手势、触摸等操作,且在C2返回的目标中,存在一个俄罗斯应用程序。通过尝试连接到服务器,伪装成二维码阅读器的APK样本,一旦启动,应用程序便立即请求用户访问辅助功能服务,该服务授予应用程序代替用户执行手势和触摸的能力,正常的QR码阅读器不需要这些特权,用户一旦发现该服务请求,可视为危险信号。

应对措施
  防范:(1)从官方和合法市场下载应用程序;(2)谨慎授予应用程序发起的权限授予要求;(3)使用网络安全设备或组件阻断相关指示器。

  引用自:https://redqueen.tj-un.com/IntelDetails.html?id=b3bf8260eb0040f4aafff7ab3a5f03d8

3.基于GoLang的新勒索软件BianLian针对多个行业

 概述 

 
Cyble实验室近期观察到一个新的用Go语言编写的勒索软件变体BianLian,该变体在2022年7月中旬首次被发现。BianLian是基于GoLang的勒索软件,会破坏多个行业并要求巨额赎金。它还使用双重勒索方法,窃取受影响组织的文件,并在未按时支付赎金时将其在线泄露。
  该勒索软件已经针对制造业,教育,医疗保健,金融等多个行业领域的许多知名组织发起过攻击。BianLian勒索软件是一个64位的GoLang二进制可执行文件,运行后会检查是否在WINE环境中运行,然后使用API函数创建多个线程以执行更快的文件加密。接下来,恶意软件识别系统驱动器,并对连接的驱动器中的任何可用文件进行加密。为了加密和逃避检测,恶意软件将文件内容分成10个字节的块,然后加密这些字节并将加密的数据写入目标文件。之后,恶意软件使用“.bianlian”扩展名重命名加密文件,并使用MoveFileExW()API功能将其替换为原始文件,最后,勒索软件会删除自身,仅将加密文件和赎金记录留在受害者的计算机上。
  在赎金记录中,受害者将获得有关如何联系攻击者以恢复其加密文件的说明。BianLian还威胁他们的受害者,声称他们的重要数据,如财务,客户,业务数据和个人文件均已被下载,如果十天内没有支付赎金,将发布在他们的泄漏网站上。赎金票据还包含用于赎金谈判的TOX
Messenger的ID和泄漏站点页面的链接。而BianLian
Leak网站则包含受勒索软件影响的所有公司的列表以及勒索软件数据恢复的联系方式。

  应对措施  

  防范:(1)执行定期备份,并使这些备份脱机或位于单独的网络中;(2)尽可能在计算机、移动设备和其他连接的设备上打开自动软件更新功能;(3)避免在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。
  引用自:https://redqueen.tj-un.com/IntelDetails.html?id=e0fe2026252e4c2c9894542d17a68d96


安全 生态 诚信 服务

85790ANTC-威胁情报安全公告 2022年第三十一周

这个人很懒,什么都没留下

文章评论