5月22日,星期一,您好!中科汇能与您分享信息安全快讯:
01
响尾蛇 APT 组织持续攻击我国和巴基斯坦实体组织
The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。
APT 组织 SideWinder 至少从 2012 年起就开始活跃,其攻击链主要利用鱼叉式网络钓鱼作为入侵机制,在受害目标的网络环境中“站稳脚跟”,从其以往的攻击目标来看, 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。
研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。
02
官宣!美光产品影响我国国家安全,关键领域停止采购!
据消息,美光在华销售产品未通过中国的网络安全审查,要求关键信息基础设施的运营者停止采购。
审查发现,美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。为此,网络安全审查办公室依法作出不予通过网络安全审查的结论。按照《网络安全法》等法律法规,我国内关键信息基础设施的运营者应停止采购美光公司产品。
网络安全审查办公室强调,“此次对美光公司产品进行网络安全审查,目的是防范产品网络安全问题危害国家关键信息基础设施安全,是维护国家安全的必要措施。中国坚定推进高水平对外开放,只要遵守中国法律法规要求,欢迎各国企业、各类平台产品服务进入中国市场。”
03
Capita 数据泄露将重创数百万人养老金计划
近日,总部位于英国的业务流程外包和专业服务公司 Capita 证实,在一个著名的勒索软件组织提出出售据称从该组织窃取的信息后,黑客从其系统中窃取了数据。
该事件于3月31日曝光,当时 Capita 表示正在经历一起重大 IT 事件,导致员工无法登录其系统。该公司告诉媒体,当时确认这是一次网络攻击还为时过早。然而,后来曝光的信息显示,该公司很可能知道它正在处理一起网络安全事件。
近日,Capita确认其经历了一次网络事件,导致无法访问内部应用程序,导致部分服务中断。该公司当时表示,“问题仅限于部分Capita网络,没有证据表明客户、供应商或同事的数据已被泄露。”
04
思科交换机存在严重漏洞可能允许远程攻击
近日,思科发布更新以解决其 Small Business 系列交换机中的一组九个安全漏洞,未经身份验证的远程攻击者可能会利用这些漏洞运行任意代码或导致拒绝服务 (DoS) 情况。
九个漏洞中的四个在 CVSS 评分系统中被评为 9.8 分(满分 10 分),这使得它们在本质上非常严重。
成功利用上述漏洞可能允许未经身份验证的远程攻击者通过基于 Web 的用户界面发送特制请求,从而在受影响的设备上以 root 权限执行任意代码。或者,它们也可能被滥用以触发 DoS 条件或通过恶意请求读取易受攻击系统上的未经授权的信息。
05
北约合作网络防御卓越中心(CCDCOE)是一个跨国组织,旨在增强网络防御能力,促进北约成员国和伙伴国家之间的合作。
该组织位于爱沙尼亚塔林,在网络防御领域开展研究、培训和演习,并提供共享专业知识和最佳实践的平台。其使命是通过协作努力和创新解决方案的开发来改进网络防御政策、战略和运营。在成立15周年之际,北约合作网络防御卓越中心 (CCDCOE) 在其位于塔林的总部升起了冰岛、爱尔兰、日本和乌克兰的旗帜,欢迎四个新成员国加入 CCDCOE 网络防御大家庭。
06
新的 ZIP 域名引发了网络安全专家之间的争论
网络安全研究人员和 IT 管理员对谷歌新的 ZIP 和 MOV 互联网域提出了担忧,警告称威胁行为者可能会利用它们进行网络钓鱼攻击和恶意软件传播。
本月早些时候, 谷歌推出了 八个新的顶级域 (TLD),可以购买这些域来托管网站、电子邮件。虽然 ZIP 和 MOV TLD 自 2014 年以来一直可用,但直到本月它们才普遍可用,允许任何人为网站购买域,如 bleepingcomputer.zip。
但是,这些域可能被认为具有风险,因为 TLD 也是论坛帖子、消息和在线讨论中通常共享的文件的扩展名,现在某些在线平台或应用程序会自动将其转换为 URL。
07
Apple 修复了三个新的0day漏洞,用于破解 iPhone、Mac
近日,Apple 发布公告修复了三个新的0day漏洞,这些漏洞可能已经被用于攻击 iPhone、Mac 和 iPad。这些安全漏洞均在多平台 WebKit 浏览器引擎中发现,并被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373。
第一个漏洞是沙箱逃逸,它使远程攻击者能够突破 Web 内容沙箱。另外两个是可以帮助攻击者访问敏感信息的越界读取和一个允许在受感染设备上执行任意代码的释放后使用问题,这两个问题都是在诱使目标加载恶意制作的网页之后(网页内容)。
08
研究人员发布 PoC 工具:利用 CVE-2023-32784 漏洞从 KeePass 检索主密码
安全研究员 Vdohney 发布了一个名为KeePass 2.X Master Password Dumper 的PoC 工具,它允许检索 KeePass 的主密码。
该工具利用未修补的 KeePass 漏洞(跟踪号CVE-2023-32784)从 KeePass 2.x 版本的内存中检索主密码。“在 2.54 之前的 KeePass 2.x 中,即使工作区被锁定或不再运行,也可以从内存转储中恢复明文主密码。内存转储可以是 KeePass 进程转储、交换文件 (pagefile.sys)、休眠文件 (hiberfil.sys) 或整个系统的 RAM 转储。”“第一个字符无法恢复。在 2.54 中,有不同的 API 使用和/或随机字符串插入来缓解。”
09
暗网Skynet Market头目认罪:出售数万人财务信息
近期,一名美国公民Michael D. Mihalo承认经营一个名为Skynet Market 的暗网梳理网站,专门从事信用卡和借记卡数据的交易,并出售了属于该国数万名受害者的财务信息。
2016 年 2 月 22 日至 2019 年 10 月 1 日期间,Mihalo 和他的同伙还在 AlphaBay Market、Wall Street Market 和 Hansa Market 等其他暗网市场上兜售他们的软件。美国司法部 (DoJ) 在 2023 年 5 月 16 日发布的一份新闻声明中表示:“Mihalo 组建并指挥了帮助他在暗网上出售这些被盗财务信息的团队。”
“Mihalo 个人拥有、发送和接收与 49,084 张被盗支付卡相关的信息,目的是将支付卡信息在暗网网站上贩卖,所有这些都是为了推动阴谋。”
10
苹果公司在安全公告中指出,“苹果已注意到该漏洞可能遭活跃利用的报告。”这三个漏洞均位于多平台的 WebKit 浏览器引擎中,编号为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。
CVE-2023-32409是一个沙箱逃逸漏洞,可导致远程攻击者公婆 Web Content 沙箱。其它两个漏洞是界外读漏洞,一个有助于攻击者获得访问敏感信息的权限,一个是可导致在受陷设备上实现任意代码执行的释放后使用漏洞,这两个漏洞均要求目标加载恶意构造的网页(web 内容)。
苹果已在 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5和 Safari 16.5 改进边界检查、输入验证和内存管理,修复了这三个漏洞。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEE Symantec 白帽汇安全研究院 安全帮 卡巴斯基