其他
20230911-5th域安全微讯早报-No.217
网络空间安全对抗资讯速递
2023年9月11日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-217 星期一
今日热点导读
1、微软计划停止通过Windows Update支持第三方打印机驱动程序
2、日本处于太空成就的巅峰:XRISM和SLIM的成功发射
3、Dymocks书商遭遇数据泄露影响83.6万客户
4、Ragnar Locker勒索组织声称对以色列Mayanei Hayeshua医院遭到袭击负责
5、Notepad++ 8.5.7最新版本发布已修复了四个安全漏洞
6、滥用Microsoft Teams的网络钓鱼攻击推送DarkGate恶意软件
7、“Evil Telegram”间谍软件活动感染了超过6万移动用户
8、英国新加坡成战略伙伴强化国防合作应对复合威胁
9、网络犯罪分子在加密货币挖矿攻击中将合法的高级安装程序工具武器化
10、麻省理工学院揭示了量子随机性的秘密
11、G20国家将控制每笔加密货币交易
12、美联社警告其样本数据泄露恐导致网络钓鱼攻击
资讯详情
2、日本处于太空成就的巅峰:XRISM和SLIM的成功发射2023年9月7日,日本时间上午8点42分,H-IIA F47运载火箭从种子岛发射中心成功发射。该火箭承载了日本航天局的两项关键任务:XRISM(X射线成像光谱任务)和SLIM(月球探索智能着陆器)。XRISM的主要任务是研究黑洞、中子星和星系团等宇宙物体的X射线发射。该任务的名称突出了对成像和光谱学的双重重视。XRISM预计将在多个科学领域取得突破性成果,包括研究宇宙结构的演化、强引力影响下的物质行为以及中子星的内部结构。SLIM,即智能月球探测着陆器,旨在高精度地探索月球表面。与之前着陆区域更宽的任务相比,SLIM 的目标是精确着陆。先进的导航和控制技术将帮助火星车在下降过程中做出实时决策,使其避开岩石和陨石坑等障碍物。SLIM的拟议着陆点是月球上的Procellarum KREEP Terrane 区域。该地区具有特殊的科学意义,因为存在特定的月球岩石,可以深入了解月球的早期火山活动和地质历史。https://www.securitylab.ru/news/541641.php
3、Dymocks书商遭遇数据泄露影响83.6万客户Dymocks Booksellers警告客户,在该公司的数据库在黑客论坛上共享后,他们的个人信息在数据泄露中被暴露。Dymocks是一家连锁书店,在澳大利亚、新西兰和香港经营65家门店,同时也是一家销售印刷书籍、电子书、文具用品、游戏和数字媒体的网上商店。该公司获悉,其客户数据于2023年9月6日被数据泄露通知服务“Have I Been Pwned”(HIBP)的创建者Troy Hunt获取,此前一名威胁行为者在黑客论坛上发布了该数据。在Dymocks网站上发布的通知中,这家图书零售商解释说,他们没有发现其计算机系统受到渗透的证据,目前正在调查第三方合作伙伴的潜在安全漏洞。因此,数据是如何获取的、未经授权访问的持续时间、恶意活动的程度以及该事件影响的确切范围仍不清楚。Have I Been Pwned已确认,在线泄露的数据包含836,120个唯一Dymocks帐户的120万条用户记录。https://www.bleepingcomputer.com/news/security/dymocks-booksellers-suffers-data-breach-impacting-836k-customers/
4、Ragnar Locker勒索组织声称对以色列Mayanei Hayeshua医院遭到袭击负责Ragnar Locker勒索软件团伙声称对以色列Mayanei Hayeshua医院的攻击负责,并威胁要泄露据称在网络攻击期间被盗的 1TB数据。对Mayanei Hayeshua的网络攻击发生在8月初,破坏了医院的记录保存系统,并导致新患者无法接受护理。9月8日,安全研究人员MalwareHunterTeam指出 ,Ragnar Locker勒索软件组织声称对此次攻击负责,并在其数据泄露网站上为医院创建了一个新页面。数据泄露网站上的条目包含来自威胁行为者的消息,声称由于受害者是一家医院,他们没有加密设备,但确实从该组织窃取了数据。Ragnar Locker数据泄露网站写道:“首先,我们要强调,由于这是一家医疗机构,我们没有运行任何加密以避免设备故障或必要的仪器。”“然而,严重的漏洞允许我们下载大量数据,而我们所在位置的其他人可以以任何其他方式利用此类漏洞。”威胁行为者现已公布了420GB 据称被盗的数据,并警告称将在下周公布更多数据。https://www.bleepingcomputer.com/news/security/ragnar-locker-claims-attack-on-israels-mayanei-hayeshua-hospital/
5、Notepad++ 8.5.7最新版本发布已修复了四个安全漏洞Notepad++ 版本 8.5.7已发布,修复了多个缓冲区溢出零日漏洞,其中一个被标记为可能通过诱骗用户打开特制文件来导致代码执行。Notepad++是一种流行的免费源代码编辑器,支持多种编程语言,可以通过插件进行扩展,并提供提高生产力的功能,例如多选项卡编辑和语法突出显示。GitHub安全研究员Jaroslav Lobačevski在过去几个月向开发人员报告了 Notepad++ 8.5.2版本中的四个漏洞,其中一个较为严重。研究人员的公共咨询中还发布了针对这些缺陷的概念验证漏洞,因此用户必须尽快更新程序。发现的漏洞涉及Notepad++使用的各种函数和库中的堆缓冲区写入和读取溢出。尽管Lobačevski的博客和概念验证漏洞已于2023年8月21日发布,但Notepad++开发团队并没有急于对这种情况做出回应,直到用户社区 敦促 其解决方案。https://www.bleepingcomputer.com/news/security/notepad-plus-plus-857-released-with-fixes-for-four-security-vulnerabilities/
6、滥用Microsoft Teams的网络钓鱼攻击推送DarkGate恶意软件一个新的网络钓鱼活动正在滥用Microsoft Teams消息来发送安装DarkGate Loader恶意软件的恶意附件。该活动于2023 年8月下旬开始,当时发现两个受感染的外部Office 365帐户向其他组织发送了Microsoft Teams网络钓鱼消息。这些帐户被用来诱骗其他Microsoft Teams用户下载并打开名为“更改假期安排”的ZIP文件。单击附件会触发从SharePoint URL下载ZIP,其中包含伪装成PDF文档的LNK文件。Truesec的研究人员分析了Microsoft Teams网络钓鱼活动,发现其中包含恶意VBScript,该脚本会触发感染链,从而导致识别为DarkGate Loader的有效负载。为了尝试逃避检测,下载过程利用Windows cURL来获取恶意软件的可执行文件和脚本文件。该脚本经过预编译,将其恶意代码隐藏在文件中间,以与 AutoIT脚本相关的可区分的“魔术字节”开头。Truesec和德国电信CERT发现的该活动利用受损的Microsoft Teams帐户将恶意附件发送到其他Teams组织。https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-attack-pushes-darkgate-malware/
7、“Evil Telegram”间谍软件活动感染了超过6万移动用户官方Google Play应用商店中伪装成一组合法Telegram“mod”的危险间谍软件已被下载数万次,其存在给商业用户带来了严重影响。针对流行消息客户端的修改应用程序(“mods”)是Telegram生态系统中众所周知的一部分。Mod 具有官方客户端所有标准功能的应用程序,但它们还具有额外的功能。就Telegram而言,这种开发受到公司的积极鼓励,并被认为是完全合法的。不幸的是,根据卡巴斯基的研究,未知的威胁行为者正在利用官方对Telegram mods存在的接受来为网络间谍活动创造新的途径,他们恰如其分地称之为“邪恶的 Telegram”。卡巴斯基在9月8日发布的Evil Telegram 查结果显示,“Telegram 模组如雨后春笋般涌现……但处理通讯模组时应格外小心”。Telegram、Signal和WhatsApp等应用程序通过端到端加密来宣传安全性,许多用户将这些平台与安全联系在一起,而没有考虑使用第三方应用程序的影响。https://www.darkreading.com/attacks-breaches/evil-telegram-spyware-campaign-infects-60k-mobile-users
8、英国新加坡成战略伙伴强化国防合作应对复合威胁英国与新加坡9日发布「战略伙伴」共同宣言,其中提到双方国防部将加强合作、探索深化各项伙伴关系的可能性,以共同应对复合式威胁,特别是在数位、网路与资讯领域。宣言特别提到,英方有意与去年10月成立的新加坡第4军种「国防数位防卫与情报军」(Digital and Intelligence Service)进一步发展合作。「国防数位防卫与情报军」整合新加坡武装部队旗下原有相关单位,任务范围涵盖心理战、网络安全、数位领域威胁、军事情报等。防长黄永宏去年3月曾说,此军种的成立借鉴了俄罗斯与乌克兰之间的网路战经验。宣言指出,英国与新加坡将更密切交流针对复合式威胁的评估分析及吓阻策略,并在国际间共同推动计画,协助各国建构网路防卫能力,包括透过联合国与东南亚国家协会(ASEAN)等多边平台。此外,英星双方将推动「五国联防」(FPDA)演训架构进一步现代化、加速导入更先进资源,强化军工产业合作。https://www.ettoday.net/news/20230910/2579232.htm#ixzz8CrcUaYit
9、网络犯罪分子在加密货币挖矿攻击中将合法的高级安装程序工具武器化至少自2021年11月以来,威胁行为者正在滥用一种用于创建软件包的合法Windows工具Advanced Installer,在受感染的计算机上投放加密货币挖掘恶意软件。思科Talos研究人员表示:“攻击者使用Advanced Installer将其他合法软件安装程序(例如 Adobe Illustrator、Autodesk 3ds Max和SketchUp Pro)与恶意脚本打包在一起,并使用Advanced Installer的自定义操作功能使软件安装程序执行恶意脚本”。木马应用程序的性质表明,受害者可能涵盖建筑、工程、施工、制造和娱乐领域。软件安装程序主要使用法语,这表明法语用户被挑选出来。该活动具有战略意义,因为这些行业依赖具有高图形处理单元(GPU)能力的计算机来进行日常运营,这使它们成为加密货币劫持的利润丰厚的目标。思科对发送到攻击者基础设施的DNS请求数据的分析表明,受害者足迹遍及法国和瑞士,其次是美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南的零星感染。这些攻击最终导致部署M3_Mini_Rat,这是一个PowerShell脚本,可能充当下载和执行其他威胁的后门,以及多个加密货币挖掘恶意软件系列,例如PhoenixMiner和lolMiner。https://thehackernews.com/2023/09/cybercriminals-weaponizing-legitimate.html
10、麻省理工学院揭示了量子随机性的秘密麻省理工学院(MIT)的科学家在量子技术方面取得了突破,首次证明了对量子随机性的控制。这项研究的重点是量子物理学的一个独特特征,即“真空中的涨落”。尽管真空被认为是一个没有物质或光的完全空的空间,但在量子水平上,即使这个“空”的空间也会受到波动的影响。此前,这种波动使科学家能够生成随机数。研究结果发表在《科学》杂志上。本文由麻省理工学院博士后项目研究员Charles Roques-Carmes和Yannick Salamin、麻省理工学院教授Marin Soljačić和John Joannopoulos及其同事撰写。概率计算的实际实现面临着控制与量子随机性相关的概率分布的问题。但麻省理工学院团队的研究指出了一个可能的解决方案。科学家们已经证明,将弱激光“偏置”引入光学参量振荡器(一种自然生成随机数的系统)可以作为“偏置”量子随机性的受控源。对受控量子随机性的发现使研究者能够重新考虑量子光学中已有数十年历史的概念,并开辟了概率计算和超精确场传感的潜力。研究人员称通过控制真空中的波动,他们正在突破量子概率计算的可能性界限。https://www.securitylab.ru/news/541653.php
11、G20国家将控制每笔加密货币交易全球20个最大经济体的领导人以G20形式联合起来,正在积极推动加密资产国际标准的理念。在新德里举行的为期两天的峰会宣布成立一个小组,将从2027年开始促进各国之间的信息交流。“我们呼吁迅速实施加密资产报告标准(CARF)和共同报告标准(CRS)修正案。我们要求税务透明度和信息交换全球论坛确定适当且商定的时间表,以开始实施相关司法管辖区的交流”,G20领导人签署的宣言写道。该框架将影响许多国家,包括阿根廷、澳大利亚、巴西、加拿大、中国、法国、德国、印度、印度尼西亚、意大利、日本、墨西哥、俄罗斯、沙特阿拉伯、南非、韩国、土耳其、英国和美国以及欧盟。请注意,世界三分之二的人口居住在G20国家。加密资产报告标准由经济合作与发展组织于2022年10月首次推出。本文件旨在为税务机关提供对加密货币交易及其参与者的更多控制。根据拟议的倡议,各国将每年自动交换有关加密货币交易的信息。这适用于不受监管的加密货币交易所和加密货币钱包提供商的交易。该组织还支持金融稳定委员会“监管、监督和监测加密资产和全球稳定币领域的活动”的建议。https://www.securitylab.ru/news/541656.php
12、美联社警告其样本数据泄露恐导致网络钓鱼攻击美联社警告说,数据泄露会影响AP Stylebook客户,攻击者利用窃取的数据进行有针对性的网络钓鱼攻击。美联社文体手册是全球记者、杂志和新闻编辑室常用的语法、标点符号和写作风格指南。本周,美联社警告说 ,一个不再使用的旧的第三方管理的AP Stylebook网站在2023年7月16日至7月22日期间遭到黑客攻击,导致224名客户的数据被盗。被盗信息包括客户姓名、电子邮件地址、街道地址、城市、州、邮政编码、电话号码和用户ID。对于输入免税ID(例如社会保障号或雇主识别号)的客户,这些ID也会被盗。美联社表示,他们于2023年7月20日首次获悉可能的数据泄露事件,当时美联社 Stylebook客户报告收到网络钓鱼电子邮件,称他们需要更新信用卡信息。在得知网络钓鱼攻击后,美联社将旧站点和网络钓鱼下线,以防止进一步的攻击。美联社已向AP Stylebook客户发出网络钓鱼攻击警报,警告这些电子邮件来自“support@getscore.my[.]id”。美联社还要求所有美联社样本客户在下次登录时重置口令。https://www.bleepingcomputer.com/news/security/associated-press-warns-that-ap-stylebook-data-breach-led-to-phishing-attack/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement