20230807-5th域安全微讯早报-No.187
网络空间安全对抗资讯速递
2023年8月7日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-187 星期一
今日热点导读
1、荷兰间谍软件制造商LetMeSpy在黑客删除服务器数据后宣布关闭
2、新的声学攻击可窃取击键数据-准确率高达95%
3、威胁行为者滥用Cloudflare Tunnel进行持久访问和数据盗窃
4、俄罗斯将制定处理“特定类别人员”个人数据的特殊程序
5、Reptile Rootkit:针对韩国系统的高级Linux恶意软件
6、Milesight工业路由器发现漏洞
7、FBI警告骗子冒充NFT开发者窃取加密货币
8、攻击者利用Salesforce和Facebook漏洞发起网络钓鱼攻击
9、新的PaperCut严重漏洞使未修补的服务器面临RCE攻击
10、发现恶意npm软件包窃取开发人员的敏感数据
11、全球使用的 Points.com忠诚度系统修复重大数据泄露漏洞
12、黑客使用武器化PDF文件发送更新的STRRAT恶意软件
13、生物芯片可以在几分钟内检测出多种病毒、癌症或毒素
14、美国科学家在聚变能源方面再次取得突破
资讯详情
1、荷兰间谍软件制造商LetMeSpy在黑客删除服务器数据后宣布关闭
总部位于波兰的间谍软件LetMeSpy已不再运行,并表示在6月份的一次数据泄露事件后关闭其服务器,其中包括从数千名受害者手机中窃取的大量数据。LetMeSpy在其网站上以英语和波兰语发布的通知中确认该间谍软件服务已“永久关闭”,并将于8月底停止运营。该通知称LetMeSpy正在阻止用户登录或注册新帐户。LetMeSpy以前的登录页面不再起作用,该页面上的另一则通知证实了之前的报道,即破坏间谍软件操作的黑客还删除了其服务器上的数据。通知中写道:“此次违规行为包括未经授权访问LetMeSpy网站的数据库、下载数据并同时删除攻击者从网站上删除的数据。”TechCrunch的网络流量分析显示,LetMeSpy的应用程序不再运行,间谍软件制造商的网站也不再提供该间谍软件应用程序的下载。LetMeSpy是一款Android手机监控应用程序,专门设计为隐藏在受害者手机主屏幕上,从而使该应用程序难以检测和删除。当像LetMeSpy这样的应用程序被植入一个人的手机时(通常是由知道手机密码的人),它会不断窃取该人的消息、通话记录和实时位置数据。非营利透明度组织 DDoSecrets获得了该数据库的副本,该组织出于公共利益对泄露的数据集进行了索引,并与TechCrunch共享以供分析。数据显示,直到最近,LetMeSpy还被用来窃取全球13,000多台受感染Android设备的数据。
https://techcrunch.com/2023/08/05/letmespy-spyware-shuts-down-wiped-server/
2、新的声学攻击可窃取击键数据-准确率高达95%
来自英国大学的一组研究人员训练了一种深度学习模型,该模型可以从使用麦克风记录的键盘击键中窃取数据,准确率高达95%。当使用Zoom训练声音分类算法时,预测准确率下降到93%,这仍然是危险的高水平,并且是该媒体的记录。此类攻击会严重影响目标的数据安全,因为它可能会将人们的密码、讨论、消息或其他敏感信息泄露给恶意第三方。此外,与其他需要特殊条件并受到数据速率和距离限制的旁道攻击相反,由于大量可以实现高质量音频捕获的麦克风承载设备,声学攻击变得更加简单。这与机器学习的快速进步相结合,使得基于声音的旁道攻击变得可行,并且比之前预期的危险得多。攻击的第一步是记录目标键盘上的击键,因为训练预测算法需要该数据。这可以通过附近的麦克风或目标手机来实现,该手机可能已被有权访问其麦克风的恶意软件感染。或者,可以通过Zoom通话来记录击键,恶意会议参与者可以在目标键入的消息与其录音之间建立关联。研究人员通过在现代MacBook Pro上按36个按键,每个按键25次并记录每次按键产生的声音来收集训练数据。潜在的防御措施包括使用软件重现击键声音、白噪声或基于软件的击键音频过滤器。
https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/
3、威胁行为者滥用Cloudflare Tunnel进行持久访问和数据盗窃
据网络安全公司GuidePoint Security称,威胁行为者一直在利用开源工具Cloudflared建立对受感染系统的持久访问并秘密窃取信息。Cloudflared是Cloudflare Tunnel的命令行客户端,支持在Cloudflare和用户源之间代理流量。攻击者可以使用它通过HTTPS创建出站连接,提供对SSH、RDP和SMB等服务的直接访问,同时保持不被发现。攻击者需要访问目标系统才能执行Cloudflared,一旦建立连接,他们就可以实时更改配置。尽管可以使用特定查询来识别未经授权的使用,但 Cloudflared缺乏存储的日志对检测提出了挑战。
https://www.oodaloop.com/cyber/2023/08/04/threat-actors-abuse-cloudflare-tunnel-for-persistent-access-data-theft/
4、俄罗斯将制定处理“特定类别人员”个人数据的特殊程序
俄罗斯政府向国家杜马提交了 一项立法提案,涉及建立处理某些公民群体的个人数据的特别程序,以及允许执法机构进入某些人口群体的数据库,以便纠正、修改或消除他们。该文件发布在杜马电子数据库中。正如该法案发起人在随附文件中所强调的那样,“在科技快速进步的时代,其中大部分创新都与数据处理(包括人工智能)有关,确保保护信息系统和(或)数据库中存储的特定人群的信息变得极其重要。”该法案提议在“个人数据”法中增加一条新条款,对个人数据的处理制定特别规定,具体名单将由总统确定。作为该计划的一部分,计划从2025年9月1日起创建个人数据系统登记册,每个数据系统都将被分配一个重要类别。假设这样的登记册将由数字化转型部控制,将制定个人数据信息系统重要性的标准。值得注意的是,国防部、内务部、FSB、FSO以及外国情报局将能够向信息系统运营商发送请求“提供对个人数据信息的访问”系统,以澄清、提取、去个性化、阻止、删除或销毁个人数据”,表明需要保护这些数据。各办公室还可以发送恢复已澄清、提取、匿名或封锁的个人数据的请求。执法机构将监控信息系统,并采取措施获取有关其雇员的部门隶属关系的信息或限制对其的访问。新规定预计将于2024年3月1日生效。
https://www.securitylab.ru/news/540665.php
5、Reptile Rootkit:针对韩国系统的高级Linux恶意软件
威胁行为者正在使用名为Reptile的开源Rootkit来攻击韩国的Linux系统。AhnLab安全应急响应中心 (ASEC)在本周发布的一份报告中表示:“与其他通常仅提供隐藏功能的Rootkit恶意软件不同,Reptile更进一步,提供反向shell,使威胁行为者能够轻松控制系统。” “端口敲门是恶意软件在受感染系统上打开特定端口并处于待机状态的一种方法。当威胁行为者向系统发送魔术数据包时,收到的数据包将用作与C&C服务器建立连接的基础”。Rootkit是一种恶意软件程序,旨在提供对计算机的特权、根级访问,同时隐藏其存在。自2022年以来,至少有四个不同的活动利用了Reptile。2023年6月,微软发现的加密劫持操作使用shell脚本后门下载Reptile,以掩盖其子进程、文件或其内容。此前,趋势科技、Mandiant、ExaTrack均跟踪研究了此恶意软件。对Reptile的仔细检查揭示了加载程序的使用,该加载程序使用名为kmatryoshka的工具来解密并将rootkit的内核模块加载到内存中,之后它会打开特定端口并等待攻击者通过以下方式向主机传输魔术数据包协议,例如 TCP、UDP或ICMP。ASEC表示:“Reptile是一种Linux内核模式rootkit恶意软件,为文件、目录、进程和网络通信提供隐藏功能。” “然而,Reptile本身也提供了反向shell,使得安装了Reptile的系统容易被威胁者劫持。”
https://thehackernews.com/2023/08/reptile-rootkit-advanced-linux-malware.html
6、Milesight工业路由器发现漏洞
Cisco Talos在Milesight的UR32L工业路由器中发现了63个安全漏洞,SecurityWeek披露了这一消息。思科Talos研究人员表示,攻击者可以利用已发现的最严重的缺陷(编号为CVE-2023-23902)来进行网络请求促进的远程代码执行攻击。大多数影响路由器的其他高严重性错误也可以被利用来实现任意代码或命令执行。研究人员还在MileSightVPN应用程序中发现了漏洞,该漏洞可用于命令执行、身份验证规避、任意文件读取和任意JavaScript代码注入。虽然MileSightVPN可以更好地保护UR32L路由器免受攻击,但可以在一次攻击活动中利用这两种产品的漏洞。同时,Milesight保证了其UR32L路由器的安全性。“我们解决了一些领域遇到的一些障碍,并满足部分客户在部分监管领域要求的披露要求。此外,新的固件版本已经经过Talos测试,我们的支持团队正在与他们合作。”Milesight表示。
https://www.scmagazine.com/brief/milesight-industrial-router-vulnerabilities-discovered
7、FBI警告骗子冒充NFT开发者窃取加密货币
美国联邦调查局(FBI)8月4日警告称,诈骗者冒充非同质代币(NFT)开发商,对NFT爱好者进行掠夺,窃取他们的加密货币和NFT资产。在这些攻击中,犯罪分子未经授权即可访问NFT开发者社交媒体帐户,或创建几乎相同的帐户来推广“独家”NFT版本。这使得他们能够以“供应有限”的误导性说法来引诱目标,将促销活动标记为“惊喜”或之前未公开的薄荷糖,以诱导错误的紧迫感,并诱骗潜在受害者在没有适当尽职调查的情况下仓促做出决定。毫无戒心的受害者点击所提供的链接,只会被重定向到伪装成特定NFT项目合法扩展的网络钓鱼网站。诈骗者不遗余力地复制真实NFT平台的外观和用户体验,使人们更难注意到它们实际上是网络钓鱼登陆页面。在这些欺诈网站上,受害者会被提示连接他们的加密货币钱包来购买 NFT。然而,这种看似无害的行为引发了一个Drainer智能合约,将他们的加密货币和NFT资产转移到犯罪分子的钱包中。为了掩盖他们的踪迹,犯罪分子使用一系列加密货币混合器和交易所,使执法机构难以追踪被盗资产的最终目的地。
https://www.bleepingcomputer.com/news/security/fbi-warns-of-scammers-posing-as-nft-devs-to-steal-your-crypto/
8、攻击者利用Salesforce和Facebook漏洞发起网络钓鱼攻击
Salesforce合法电子邮件服务中的一个被积极利用的零日漏洞可能会让威胁参与者在Salesforce域和基础设施下制作有针对性的网络钓鱼电子邮件。Guardio Labs在8月2日的博客文章中表示,让事情变得更加复杂的是,网络钓鱼活动通过将Salesforce与Facebook网页游戏平台中的遗留漏洞联系起来,规避了传统的检测方法。Guardio于6月28日披露了这些问题,并与Salesforce和Meta合作修复了该漏洞。Guardio研究人员表示,既然修复已经应用,Salesforce系统现在将在启动地址验证过程之前,根据批准的域列表检查正在使用的域的有效性,从而无法使用Salesforce域中的地址来发送电子邮件。Salesforce电子邮件服务漏洞凸显了当像 Salesforce这样广泛使用的平台存在漏洞时,精心设计的攻击是多么有效。这里不寻常的方面集中在对Salesforce和Facebook等已知系统的巧妙利用,链接不同的漏洞以构建更有效的攻击。
https://www.scmagazine.com/news/attackers_salesforce_facebook-phishing-attacks
9、新的PaperCut严重漏洞使未修补的服务器面临RCE攻击
PaperCut最近修复了其NG/MF打印管理软件中的一个严重安全漏洞,该漏洞允许未经身份验证的攻击者在未修补的Windows服务器上远程执行代码。该漏洞被追踪为CVE-2023-39143,是由Horizon3安全研究人员发现的一系列两条路径遍历漏洞造成的,这些漏洞使威胁参与者能够在不需要用户交互进行低复杂性攻击的情况下读取、删除和上传受感染系统上的任意文件。Horizon3在8月4日发布的一份报告中表示,虽然它只影响外部设备集成设置已切换的非默认配置中的服务器,但大多数 Windows PaperCut服务器都启用了它。研究者建议使用命令检查服务器是否容易受到CVE-2023-39143攻击并且在Windows上运行(200响应表明服务器需要修补)。无法立即安装安全更新(如 Horizon3建议)的管理员可以使用这些说明仅添加需要访问白名单的IP地址。Shodan搜索显示,目前约有 1,800个PaperCut服务器暴露在网上,但并非所有服务器都容易受到CVE-2023-39143攻击。此前,PaperCut服务器因利用另一个未经身份验证的关键RCE漏洞 (CVE-2023-27350)和一个高严重性信息泄露漏洞 (CVE-2023-27351)而成为多个勒索软件团伙的攻击目标。
https://www.bleepingcomputer.com/news/security/new-papercut-critical-bug-exposes-unpatched-servers-to-rce-attacks/
10、发现恶意npm软件包窃取开发人员的敏感数据
网络安全研究人员在npm软件包注册表中发现了一系列新的恶意软件包,这些软件包旨在窃取敏感的开发人员信息。软件供应链公司Phylum于2023年7月31日首次识别出这些“测试”包,并表示它们“展示了不断增加的功能和改进”,数小时后它们被删除并以不同的、听起来合法的包名称重新上传。虽然该活动的最终目标尚不清楚,但根据对“rocketrefer”和“binarium”等模块的引用,怀疑这是一场针对加密货币领域的高度针对性的活动。所有软件包均由npm用户malikrukd4732发布。所有模块的一个共同功能是能够启动JavaScript(“index.js”),该JavaScript可以将有价值的信息泄露到远程服务器。“index.js代码是由preinstall.js文件在子进程中生成的,”Phylum研究团队表示。“此操作是由package.json文件中定义的postinstall挂钩提示的,该挂钩在软件包安装时执行。因此,仅安装此软件包的行为就会启动所有这些代码的执行。”该开发是开源存储库被用于传播恶意代码的最新示例,ReversingLabs和Sonatype识别出PyPI活动,该活动使用 VMConnect、Quantiumbase和ethter等可疑Python包来联系命令和控制(C2) 服务器并尝试使用其他命令下载未指定的Base64编码字符串。换句话说,已发布的 npm模块充当了托管电子邮件网络钓鱼攻击中使用的文件的支持基础设施,并针对开发人员进行了供应链攻击。
https://thehackernews.com/2023/08/malicious-npm-packages-found.html
11、全球使用的 Points.com忠诚度系统修复重大数据泄露漏洞
最近的一项发现引起了人们对忠诚度奖励系统中个人数据安全性的担忧,网络安全研究人员发现了广泛使用的航空公司和酒店奖励平台Points.com中存在的一系列安全漏洞。Sam Curry及其团队发现的这些漏洞可能会泄露数百万客户的个人信息。Points.com是众多航空公司和酒店奖励计划的后端,同时也是交易和兑换忠诚度积分的平台。包括Ian Carroll和Shubham Shah在内的安全研究人员在几个月的时间里发现了五个明显的安全漏洞,这些漏洞可能允许未经授权访问敏感用户数据,包括姓名、地址、电子邮件、电话号码和交易详细信息。这些漏洞可能促进了账户之间忠诚度积分的转移。此外,Sam Curry表示,攻击者可能获得了对全球管理员网站的访问权限,从而获得了发放积分、管理忠诚度计划以及执行各种管理操作的能力。Points.com平台对其报告的迅速响应,其安全团队在披露后大约一个小时内迅速解决了每个问题。在成功修补漏洞之前,受影响的网站已被下线进行修复。
https://www.hackread.com/points-com-loyalty-system-hacked-for-good/
12、黑客使用武器化PDF文件发送更新的STRRAT恶意软件
2020年出现了一种基于Java的多功能RAT,它能够从浏览器和电子邮件客户端进行键盘记录和凭据盗窃,被称为“STRRAT”。STRRAT的最新更新版本发生了巨大的变化,自发现以来,据观察它现在执行以下操作:包含“Crimson”勒索软件模块;部署多个感染链。Cyble研究与情报实验室 (CRIL)的网络安全研究人员最近发现了一种涉及两种字符串混淆方法的新技术,用于分发STRRAT版本1.6。一封冒充电子公司的垃圾邮件,感染链就开始了,这里的电子邮件包含发送给目标的PDF发票附件。
打开附加的PDF时,它会显示一个下载图像,提示用户单击该图像,从而启动从以下URL下载“Invo-0728403.zip”:hxxps://tatchumbemerchants[.]co.ke/Invo-0728403[.]zip。下载的Zip包含JavaScript中的加密STRRAT有效负载。自2023年3月以来,STRRAT恶意软件(版本1.6)通过多个感染链积极传播,不仅在野外检测到了70多个样本。为了持久化,它设置了“Skype”任务调度程序条目,STRRAT 1.6将 C&C服务器信息存储在采用AES加密的加密Base64编码的 config.txt文件中,与以前的版本一样。
https://gbhackers.com/hackers-strrat-malware-pdf-files/
13、生物芯片可以在几分钟内检测出多种病毒、癌症或毒素
科学家们开发出了能够同时进行数千个分子研究的技术,利用光来识别粘附在一系列微小硅块表面上的目标分子。理论上,该仪器每平方厘米最多可以检测16万个不同的分子。该技术最初是为了检测SARS-CoV-2病毒和其他传染源的基因片段而开发的,它还可以检测癌症的蛋白质标记物和表明环境中有毒威胁的小分子。分子生物学家兼蒙特利湾水族馆研究所首席执行官克里斯·肖林 (Chris Sholin) 指出,尽管存在现有的竞争技术,但该工具仍可在临床诊断中找到应用。大多数基因测试都是基于测量测试分子对光的吸收或发射。然而,斯坦福大学应用物理学家詹妮弗·迪翁和她的同事提出了一种基于超表面的光学检测方法。在这项研究中,他们证明他们的装置可以 检测每微升4,000个目标基因拷贝的存在。这项技术可以让医生快速识别病毒感染,而无需首先扩增患者的遗传物质。此外,该方法不仅可以帮助确定病毒的存在,还可以帮助确定感染的强度,这将有助于医生调整治疗方案。Dionne和她的同事成立了Pumpkinseed Bio,将他们的新探测器商业化。迪翁实验室前研究生、一家新初创公司的领导者杰克·胡 (Jack Hu) 表示,他们的目标是同时分析许多疾病生物标志物。
https://www.securitylab.ru/news/540669.php
14、美国科学家在聚变能源方面再次取得突破
美国科学家第二次证明了热核聚变反应的能量效率。这些结果让人们对实现无碳排放的无限能源梦想的进展充满信心。20世纪50年代以来,物理学家一直试图复制在太阳下发生的聚变反应。然而,直到202年12月为止,还没有一组科学家能够实现这样的结果,即产生的能量超过了反应所消耗的能量。加州联邦劳伦斯利弗莫尔实验室的研究人员去年首次取得了这一成果,并于7月30日重复了他们的成功,超越了去年12月实验的结果。当氢的两种同位素(氘和氚)被加热到极端温度时,就会发生聚变,原子核在该温度下聚变,释放出氦和中子形式的大量能量。尽管理论上聚变发电厂要到几十年后才会成为现实,但它们的潜力不容忽视。因此,理论上一小杯氢燃料可以为房屋提供数百年的能源。研究最多的聚变产生能量的方法是基于磁约束,而劳伦斯利弗莫尔实验室则使用惯性约束方法,其中世界上最强大的激光指向微型燃料舱。美国能源部长 Jennifer Granholm在12月将这一结果描述为“21世纪最令人印象深刻的科学成就之一”。科学界正在等待实验结果的详细数据,但已经明确的是,热核能发展的加速现象越来越明显。据两位熟悉初步结果的人士透露,7月份实验的初步数据显示能量产量超过3.5兆焦耳。这种能量大约足以在一小时内为家用熨斗提供动力。科学家估计,商业聚变将需要产生比激光多 30 至 100 倍能量的反应。
https://www.securitylab.ru/news/540671.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement