当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月16日

网络安全日报 2023年10月16日

发表于:2023-10-16 08:12 作者: 蚁景网安实验室 阅读数(2171人)

1、研究人员发布一款追踪和分析勒索软件攻击的工具

https://cybernews.com/ransomlooker/

勒索软件是一种恶意软件,通过加密受害者的文件或系统,然后要求支付赎金来解密的一种网络攻击手法。近年来,勒索软件攻击的规模和频率都在不断增加,给全球的个人和组织带来了巨大的损失和威胁。为了应对这一挑战,研究人员推出了一款名为Ransomlooker的工具,可以监控勒索软件团伙的勒索网站,并提供他们在全球范围内的攻击声明的汇总信息。该工具的目的是帮助网络安全专家在日常工作中获取实时更新和可行的洞察,以便更好地防御和应对勒索软件攻击。Ransomlooker的主要功能包括:收集并展示来自不同勒索软件团伙的最新攻击声明,包括受害者的名称、所属行业、地理位置、攻击日期、赎金金额等信息。提供一个可视化的地图,显示各个国家和地区受到勒索软件攻击的情况,以及各个勒索软件团伙的活跃程度。提供一个可搜索的数据库,可以根据不同的条件筛选和查询历史攻击记录,例如受害者名称、行业、地区、日期、赎金金额等。提供一个可订阅的RSS源,可以实时获取最新的攻击声明,并通过电子邮件或其他方式通知用户。Ransomlooker是一个免费且开源的工具,任何人都可以访问其网站或下载其源代码。

2、BianLian勒索团伙窃取Air Canada数据并威胁公开

https://www.bleepingcomputer.com/news/security/bianlian-extortion-group-claims-recent-air-canada-breach/

BianLian勒索团伙近日宣称,他们在9月份成功入侵了加拿大最大的航空公司Air Canada的网络,窃取了210GB的数据,并威胁如果不支付赎金,就会公开这些数据。这些数据包括员工的个人信息、机票预订、机场运营、飞行计划等敏感信息。BianLian勒索团伙在其暗网网站上发布了一些数据的截图,作为证据。 Air Canada在9月份时曾经承认遭到了网络攻击,但只是表示受影响的系统包括“一些员工的有限个人信息和某些记录”。该公司还表示,没有证据表明客户或合作伙伴的信息被泄露。然而,BianLian勒索团伙的声明却与此相矛盾,他们声称窃取了大量的数据,并且已经将其加密。据悉,BianLian勒索团伙是一群来自俄罗斯的黑客,他们专门针对大型企业进行攻击,要求高额的赎金。目前,Air Canada尚未对BianLian勒索团伙的声明做出回应。

3、Shadow PC遭黑客利用恶意游戏入侵,用户信息被盗卖

https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/

Shadow PC是一家提供高端云计算服务的公司,它允许用户在任何设备上享受高性能的游戏体验。然而,该公司近日遭受了一场数据泄露事件,导致用户的私人信息被黑客窃取,并在网上出售。据Shadow PC的首席执行官在周三发出的一封电子邮件中透露,这场数据泄露事件发生在上个月,是由一次“社交工程攻击”引起的。一名公司员工在Discord平台上下载了一个伪装成Steam平台游戏的恶意软件,该软件是由员工的一个熟人提供的,而这个熟人本身也是同样攻击的受害者。这个恶意软件使黑客能够远程访问员工的计算机,并进而访问Shadow PC的一个云服务提供商,从而窃取了用户信息。被盗的信息包括用户的姓名、电子邮件地址、出生日期、账单地址和信用卡到期日期。幸运的是,用户的密码或敏感的银行信息没有被泄露。然而,黑客似乎已经开始试图出售这些信息。研究人员注意到,在一个流行的黑客论坛中,有一个用户声称拥有来自Shadow PC的超过53万用户的数据,并以0.5美元每条记录的价格出售。

4、ToddyCat APT组织开发了一套新的数据窃取工具

https://securelist.com/toddycat-keep-calm-and-check-logs/110696/

ToddyCat APT组织是一支活跃于欧洲和亚洲的高级持续性威胁(APT)行为者,自2020年以来就一直被研究人员关注。该组织主要使用Ninja木马和Samurai后门作为其攻击武器,但最近,研究人员发现了该组织开发和维护的一套新的恶意软件工具,用于实现持久性、进行文件操作和加载额外的有效负载。这些工具包括一系列加载器,可以启动Ninja木马作为第二阶段;一个名为LoFiSe的工具,可以查找和收集感兴趣的文件;一个DropBox上传器,可以将窃取的数据保存到DropBox;一个名为Pcexter的工具,可以将归档文件传送到Microsoft OneDrive。 此外,ToddyCat APT组织还使用了定制的脚本进行数据收集,一个使用UDP数据包接收命令的被动后门,Cobalt Strike进行后渗透,以及利用泄露的域管理员凭证进行横向移动。该组织主要针对亚洲地区的政府和电信实体进行攻击,并使用各种“一次性”的恶意软件来逃避检测和传送下一阶段的恶意软件。

5、DarkGate恶意软件通过即时通讯平台传播

https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

DarkGate恶意软件是一种多功能的恶意软件工具包,可以从浏览器中窃取敏感数据,进行加密货币挖矿,并允许其操作者远程控制受感染的主机。它还可以作为一个下载器,下载额外的有效负载,如Remcos RAT。DarkGate恶意软件最初于2018年被发现,并主要针对欧洲和西班牙用户。2023年6月,DarkGate恶意软件的开发者在地下论坛上宣传了其新版本,称其具有更强的逃避检测和限制客户数量的功能。近几个月来,分发DarkGate恶意软件的社会工程攻击有所增加,利用初始入侵技术,如钓鱼邮件和搜索引擎优化(SEO)投毒,诱使无意识的用户安装它。最近,研究人员观察到DarkGate恶意软件通过即时通讯平台,如Skype和Microsoft Teams传播。在这些攻击中,通讯应用程序被用来传送一个伪装成PDF文档的Visual Basic for Applications(VBA)加载器脚本,当打开时,会触发下载和执行一个AutoIt脚本,用来启动恶意软件。这种利用Microsoft Teams聊天消息作为DarkGate恶意软件传播途径的方法已经在上个月被报道过,表明这种恶意软件可能被多个威胁行为者使用。

6、AvosLocker勒索软件利用正规驱动文件绕过杀毒扫描

https://www.cisa.gov/sites/default/files/2023-10/aa23-284a-joint-csa-stopransomware-avoslocker-ransomware-update.pdf

AvosLocker勒索软件是一种相对较新的勒索软件家族,它使用了最新的勒索软件特征,即通过威胁暴露窃取的信息来进行“双重勒索”。该勒索软件于2022年7月首次被发现,它声称自己是一个“专业的加密服务”,并提供了一个暗网门户网站,用于与受害者沟通和支付赎金。该门户网站还显示了一些被攻击的组织的名称和部分数据,作为对其他潜在受害者的威胁。AvosLocker勒索软件主要通过钓鱼邮件和漏洞利用来传播,它会加密受感染系统上的文件,并在每个文件夹中留下一个名为“README_FOR_DECRYPT.txt”的赎金说明文件。该文件包含了一个唯一的识别码和一个指向暗网门户网站的链接。最近,研究人员发现了AvosLocker勒索软件的一个新变种,它利用了正规的安全产品驱动文件来禁用杀毒扫描。这是首次发现正规杀毒软件“Avast”的反Rootkit驱动文件“asWarPot.sys”被滥用,用于关闭安全防护功能。此外,在这次攻击中,还发现了攻击者使用服务扫描工具“Nmap NSE script”来搜索具有“Log4j”漏洞“Log4Shell”的终端的活动。这些表明了“人工操作”的勒索软件攻击中,正规工具的滥用正在变得更加普遍和复杂。

7、未修复的WS_FTP服务器遭受勒索软件攻击

https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/

WS_FTP是一款广泛使用的FTP软件,主要用于在网络上传输文件。然而,该软件存在一个最高级别的漏洞,编号为CVE-2023-28252,可以让攻击者在本地访问的情况下执行任意代码。该漏洞已经被一些勒索软件利用,例如LockBit 3.0。据研究人员观察,自称为Reichsadler Cybercrime Group的威胁行为者试图利用这个漏洞,在未修复的WS_FTP服务器上部署勒索软件载荷。他们使用了在2022年9月被盗的LockBit 3.0构建器来创建勒索软件。LockBit 3.0是一种自动化的勒索软件,可以快速加密受害者的文件,并威胁公开或销毁数据,如果不支付赎金。安全专家建议WS_FTP用户尽快更新到最新版本,以修复这个漏洞,并且定期备份重要文件,以防止数据丢失。

8、微软将淘汰NTLM,转向更强的Kerberos认证

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848

微软宣布,计划在未来的Windows 11中淘汰NT LAN Manager(NTLM),转向更强的Kerberos认证。NTLM是一种早期的单点登录(SSO)工具,使用挑战-应答协议来验证用户的密码。但是,NTLM存在一些安全弱点,容易受到中继攻击,导致未授权访问网络资源。微软表示,将加强Kerberos认证协议,这是自2000年以来的默认协议,并减少对NTLM的依赖。Kerberos使用一个基于票据授予服务或密钥分发中心的两部分过程来进行认证,并且使用加密而不是密码散列。微软还表示,正在解决其组件中硬编码的NTLM实例,为最终在Windows 11中禁用NTLM做准备,并且正在改进一些功能,鼓励使用Kerberos而不是NTLM。这些变化将默认启用,并且对于大多数情况不需要配置。

9、LOCKBIT勒索软件团伙向CDW索要8000万赎金

https://securityaffairs.com/152470/cyber-crime/lockbit-ransomware-gang-hacked-cdw.html

CDW公司是一家提供技术产品和服务的跨国公司,拥有超过1000万的客户和超过100亿美元的年收入。近日,该公司遭到了LockBit勒索软件团伙的攻击,黑客声称已经窃取了该公司的敏感数据,并在暗网上发布了一个倒计时,要求CDW公司在16天内支付赎金,否则就会公开数据。目前,CDW公司的官网仍然正常运行,没有显示任何被攻击的迹象。CDW公司也没有对此事发表任何声明或回应。LockBit勒索软件团伙索要8000万美元的赎金,但该组织声称该公司只提供了100万美元。CDW补充道:“我们知道第三方已在暗网上提供了数据,并声称这些数据是从该环境中获取的。” “作为正在进行的调查的一部分,我们正在审查这些数据,并将采取适当的应对行动,包括酌情直接通知任何受影响的人。”

10、奖金最高15000美元!微软宣布Bing AI漏洞赏金计划

https://www.freebuf.com/news/380600.html

近日,微软宣布了一项新的人工智能赏金计划,重点关注Bing AI的体验,奖金达到了15000美元。

随着人工智能驱动的Bing体验成为新漏洞赏金计划的第一个产品,安全研究人员可以提交在以下合格服务和产品列表中发现的漏洞:

  • 在浏览器中,Bing .com上的人工智能必应体验(支持所有主要供应商,包括Bing Chat, Bing Chat for Enterprise和Bing Image Creator)
  • 在Microsoft Edge (Windows)中集成了人工智能支持的必应,包括企业版必应聊天
  • 在微软启动应用程序(iOS和Android)中集成人工智能支持的Bing
  • 在Skype移动应用程序(iOS和Android)中集成ai支持的Bing

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。