第301期
你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!
1、Kaiser Permanente
数据泄露影响7万人
Kaiser Permanente近期披露数据泄露事件,近7万人健康数据一览无余。安全研究员发现keep、pyanxdns、api-res-py等python模块突然引入了密码窃取模块,仔细一看竟是开发者疏漏。 包之间互相依赖已经相当常见了,这次keep就在依赖上栽了跟头。本想引入requests包,结果不小心少打了个s,就引入了一个恶意包。虽然就算善意来想是开发者手滑,出现这种较低级的错误也有点尴尬,但不排除开发者账号被劫持或有他自己小心思的可能性,目前这三个包出现密码窃取模块的问题已分配了CVE。 部分镜像站也有一定的责任,request作为老牌钓鱼包早就臭名远扬,但很多镜像仍未从索引中删掉它,持续对粗心大意的开发者进行着钓鱼攻击。[点击“阅读原文”查看详情]2、黑客伪造Coinbase
MetaMask等服务
钱包窃取加密货币
安全研究员发现黑客伪造了众多知名区块链服务如Coinbase、MetaMask、TokenPocket、imToken等的钱包并利用它窃取加密货币。 此攻击起于3月,暂被命名为SeaFlower,且被认为是目前针对区块链用户仅次于Lazarus Group发动的高技术攻击。受害者安装“盗版”钱包后,账号密码、安全密语等均会被发给黑客,钱包瞬间清空。传播则是利用SEO、社交媒体广告等手段引流,钓鱼网站下载。为感染iOS用户,还专门搞了描述文件,也算是移动端全平台了。没啥说的,多去官网,多用商店吧。[点击“阅读原文”查看详情]3、BlackCat瞄准
Exchange再次发动
双重勒索
疑似BlackCat分支机构利用Exchange漏洞再次向企业发动双重勒索攻击。 微软并未说明此次的黑客与BlackCat的详细关系,只说它是BlackCat额分支机构,并将其命名为FIN12。此前他们同样部署过Ryuk、Conti和Hive勒索软件,如今又转向了势头正盛的BlackCat。这个组织的特点就是“快”,而且不是一般的快,只需两天,就能完成从感染到加密的全过程,有时为了追求极致的速度甚至可以牺牲掉数据窃取环节。另一个组织DEV-0504也是个渣男,之前用过BlackMatter、Conti、LockBit 2.0、REvil、Ryuk等,这次和FIN12一样投入了BlackCat的怀抱,一点都不专一。[点击“阅读原文”查看详情]4、Syslogk Linux
rootkit利用数据
包触发后门
全新Linux rootkit Syslogk绝赞开发中,脱胎于开源rootkit Adore-Ng的它如今使用数据包来实现休眠后门的唤醒。 Syslogk感染Linux系统后会载入到内核,隐藏文件和流量,载入“Rekoobe”后门。当然了,后门要触发才能发挥功效,它就利用特制TCP数据包,作为停止与启动的开关,大大加强抗检测能力。目前Syslogk更新速度相当快,支持的Linux版本范围也多了起来,需要安全部门严加注意。[点击“阅读原文”查看详情]5、俄罗斯黑客
利用Follina漏洞
攻击乌克兰
乌克兰计算机应急响应组(CERT)发布安全通告,提醒安全研究员注意防范俄罗斯黑客组织Sandworm利用Follina漏洞发起的攻击。 利用这个漏洞的黑客组织也不在少数,但乌克兰信誓旦旦将此攻击归因于俄罗斯黑客组织Sandworm,认为Sandworm组织此前就一直对乌克兰虎视眈眈,俄乌冲突开始后更是如此。这次也一定是Sandworm所为。光这几个月,据称为Sandworm实施的针对乌克兰的网络攻击就有好几起:2月的Cyclops Blink僵尸网络攻击、4月的Industroyer变种攻击等。[点击“阅读原文”查看详情]