研究人员发现一种可绕过PowerShell安全防护和AMSI检测的新型走私攻击;AMD就机密数据泄漏事件展开紧急调查 | 牛览
日期:2024年06月20日 阅:85
新闻速览
ㆍ美国联邦贸易委员会对Adobe订阅服务欺诈行为提起诉讼
ㆍ研究人员发现一种可绕过PowerShell安全防护和AMSI检测的新型走私攻击
ㆍAMD就机密数据泄漏事件展开紧急调查
ㆍ勒索团伙BlackSuit在暗网泄露堪萨斯城警务人员隐私数据
ㆍ罗马尼亚政府和金融机构网站因DDos攻击一度瘫痪
ㆍ新型OPIX勒索软件可利用随机字符串加密文件
ㆍ一种针对金融行业的Microsoft 365账户的新型网络钓鱼攻击服务ONNX
ㆍProsimo将与Palo Alto合作增强多云环境下的应用安全
ㆍMend.io公司推出智能化DevOps安全工具
ㆍ奇安信集团与中国电信陕西公司达成战略合作
热点观察
美国联邦贸易委员会对Adobe订阅服务欺诈行为提起诉讼
近日,美国联邦贸易委员会(FTC)已向联邦法院提起诉讼,指控软件巨头Adobe及其两名高管Maninder Sawhney和David Wadhwani在订阅服务计划方面存在欺骗性行为。FTC表示,Adobe在订阅过程中隐藏了重要条款,如提前终止费(ETF),并故意设置复杂的取消流程来阻碍消费者取消订阅。此外,FTC声称Adobe的客户服务也故意阻挠用户取消订阅导致持续计费。针对这些指控,FTC要求法院对Adobe及其高管实施包括永久禁令、民事处罚和消费者赔偿等多种救济措施。
Adobe对FTC的指控提出异议,表示订阅服务是灵活、便利且具有成本效益,用户可选择最适合自己的计划。Adobe称订阅协议的条款和取消流程是透明的,并表示将在法庭上驳斥FTC的指控。这并不是Adobe第一次因涉嫌不当使用用户隐私数据而受到监管部门的质疑,此前该公司曾因在服务条款中提及将访问用户内容以训练人工智能而遭到强烈反对,最终被迫更改相关条款。
原文链接:
研究人员发现一种可绕过PowerShell安全防护和AMSI检测的新型走私攻击
近日,研究人员发现了一种新型的ScriptBlock走私攻击技术,能够有效地绕过PowerShell的安全日志记录和AMSI(反恶意软件扫描接口)检测。这种攻击手法利用了PowerShell中 ScriptBlock 的特性,通过巧妙地操纵AST(抽象语法树)和Extent(ScriptBlock的字符串表示)来欺骗安全机制,从而执行恶意代码而不被记录在日志中。
据悉,这种攻击手法之所以能够成功,主要是由于PowerShell的安全机制仅仅通过 ScriptBlock 的范围来实现。在首次执行ScriptBlock之前,PowerShell不会对其进行任何日志记录。研究人员利用这一特点,创建了一个看似无害的ScriptBlock,实际上执行了恶意操作,却没有被任何日志或AMSI检测到。甚至,他们还通过使用C#创建ScriptBlock的方式,成功绕过了AMSI检测。
ScriptBlock走私攻击技术允许未经授权的用户或威胁参与者,绕过各种杀毒软件和 EDR检测,从而执行恶意代码而不被发现,这种攻击手法可以进一步升级为命令挂钩等更复杂的攻击手段。安全专家表示,要应对这种攻击,需要在PowerShell的安全机制上进一步改进,并加强对AST和Extent的监控和检测。同时,用户也要提高警惕,谨慎使用来历不明的PowerShell脚本。
原文链接:
https://cybersecuritynews.com/scriptblock-smuggling-bypass-security/
AMD就机密数据泄漏事件展开紧急调查
近日,美国跨国半导体公司Advanced Micro Devices(AMD)据称遭到了黑客组织IntelBroker 的入侵,导致大量涉及AMD员工和产品的敏感信息泄露。IntelBroker在暗网论坛上发帖声称已成功入侵 AMD,并透露了所盗取的大量数据,这些数据涉及AMD的ROM、固件、源代码、属性文件、员工数据库、客户数据库、财务信息以及未来产品计划等。
目前,AMD公司已就本次数据泄露事件发布正式公告:“AMD高度重视本次事件,并将不遗余力地保护数据安全。公司正在与执法部门及第三方合作伙伴紧密协作,彻底调查本次事件,并评估失窃数据的潜在影响。”尽管AMD尚未具体说明本次攻击事件的具体原因,但据报道,这起事件发生在2024年6月,或将给AMD的业务运营、客户合作和市场地位可能造成重大影响。
原文链接:
网络攻击
勒索团伙BlackSuit在暗网泄露堪萨斯城警务人员隐私数据
近日,勒索软件组织“BlackSuit”在其暗网泄密网站上发布了据称从堪萨斯城警察局(KCKPD)盗取的大量敏感数据。这些被泄露的信息包括警员薪资、病例报告、调查文件、指纹数据库、员工数据以及凶杀案现场照片等,涉及KCKPD的各项关键业务运作。这次数据泄露事件发生在KCKPD拒绝向BlackSuit支付赎金后,该勒索软件组织威胁要公开泄露部门内部信息。KCKPD尚未对此事发表官方声明,也未确认泄露信息的真实性及范围。
但据媒体Hackread.com报道,泄露的数据日期为2024年6月13日,意味着这些敏感信息可能属实。BlackSuit 组织被怀疑是历史上臭名昭著的“Conti”勒索软件团伙的更名,该团伙在过去一年内已经袭击了58个组织。这次针对KCKPD的攻击不仅可能导致公众隐私和财产安全受到威胁,因为它可能会暴露过去调查的细节,导致身份盗窃和金融诈骗。同时,也损害了民众对警方保护信息安全方面的信任。
原文链接:
罗马尼亚政府和金融机构网站因DDos攻击一度瘫痪
日前,由于受到NoName、HackNet、Cyber Dragon和Terminus 等黑客组织发动的大规模分布式拒绝服务(DDoS)攻击,罗马尼亚的部分网站运营受到严重影响,包括罗马尼亚政府门户网站、证券交易所和银行等金融机构。虽然损害程度尚不完全清楚,但已有报告称政府网站、罗马尼亚国家银行、Aedificium住房银行及布加勒斯特证券交易所的网站,都遇到了严重的可访问性问题,从“403 禁止访问”错误到加载时间延长不等,这些问题都表明系统可能遭到了中断或妥协。
尽管NoName就此发表了声明,但目标组织尚未正式发布声明,这为此次攻击索赔的严重性和真实性留下了怀疑的余地。要缓解这类NoName的DDoS攻击,需要长期的云端保护工具以及专门的软件和过滤工具。此外,修补缺陷和避免打开经过精心设计的网络钓鱼邮件,也是必要的网络卫生实践。
原文链接:
新型OPIX勒索软件可利用随机字符串加密文件
最近,研究人员发现了一种新型勒索软件,被称为OPIX。这种勒索软件使用随机字符串加密用户文件,并在文件名后添加 “.OPIX” 扩展名。受害者一旦中招,会在屏幕上看到一份勒索说明,要求在48小时内通过指定的电子邮箱或Telegram联系攻击者,否则他们的被盗数据将被出售给竞争对手并公开在暗网上。OPIX通常通过诈骗等社会工程技术传播,例如恶意软件被伪装成正常的内容,如可执行文件、文档、档案等。一旦受害者打开这些文件,勒索软件就会启动并加密数据。这种勒索病毒通常很难被解密,即使支付赎金也无法确保文件能够完全恢复。
为了保护自己的文件不受OPIX勒索软件的侵害,安全专家建议用户定期备份重要数据到多个不同的位置,如远程服务器、断开连接的存储设备等。同时在接收邮件或消息时也要保持谨慎,不要轻易点击来历不明的链接或打开附件。此外,利用VMware Carbon Black Cloud的声誉服务,可以帮助阻止已知、可疑和潜在不受欢迎程序的运行,并延迟云扫描的执行。
原文链接:
https://cybersecuritynews.com/new-opix-ransomware-encrypting-files/
一种针对金融行业的Microsoft 365账户的新型网络钓鱼攻击服务ONNX
日前,一个名为ONNX Store的新型网络钓鱼即服务(PhaaS)平台正在针对金融公司员工的Microsoft 365账户发动攻击。该平台利用PDF附件中的QR码,诱使受害者输入登录凭据和双因素认证(2FA)令牌,从而获取账户控制权。EclecticIQ公司的研究人员发现,ONNX很可能是由中东地区的威胁行为者MRxC0DER运营的Caffeine网络钓鱼工具包的更名版本。ONNX攻击于2024年2月开始活跃,主要针对银行、信用合作社和私人融资公司的员工。这些攻击通过冒充人力资源部门发送含有Adobe或Microsoft主题的PDF文件来欺骗受害者,诱使他们扫描QR码并在钓鱼网页上输入账户凭据。
ONNX为网络犯罪分子提供了一个强大且具有成本效益的网络钓鱼平台,该平台在Telegram上设有操作中心,为客户提供直观的界面来管理网络钓鱼行动。ONNX还利用加密的JavaScript代码、Cloudflare服务和防弹托管来逃避检测。该平台提供四种不同的订阅层,价格从每月150美元到400美元不等,针对不同程度的网络钓鱼需求。为了应对这种威胁,专家建议管理员采取多项措施,包括阻止来自不受信任来源的PDF和HTML附件,禁止访问使用过期证书的HTTPS网站,以及为高风险账户启用FIDO2硬件安全密钥等。EclecticIQ还分享了一些YARA规则,可用于检测含有恶意QR码的PDF文件。
原文链接:
产业动态
Prosimo将与Palo Alto合作增强多云环境下的应用安全
据媒体CRN报道,日前,Prosimo与Palo Alto Networks达成合作,通过将Prosimo的全栈云传输平台与Palo Alto的Prisma Cloud解决方案集成,增强跨多云环境中的工作负载和应用程序的安全性,旨在通过嵌入零信任原则来保护应用程序访问。Prosimo产品副总裁Mani Ganesan表示,此次合作使企业能够将 Palo Alto 防火墙部署在更靠近工作负载的位置,允许基于上下文感知路由,减少不必要的防火墙使用和相关成本,同时保持安全性。这就是上下文感知的作用所在,假设某些东西符合PCI标准,需要这个安全级别。Prosimo将通过所有上下文将流量路由到防火墙,以便防火墙可以完成其工作。该合作伙伴关系还将使Prosimo能够为Palo Alto防火墙提供集中部署模型,其形式是用于东西或南北流量的集中式虚拟私有云,或是在每个虚拟私有云中部署防火墙的分布式模型。
原文链接:
https://www.scmagazine.com/brief/prosimo-partners-with-palo-alto-to-up-multicloud-security
Mend.io公司推出智能化DevOps安全工具
据悉,Mend.io日前推出了一款应用安全工具MendAI,能够识别人工智能模型生成的代码,并扩展了其软件组成分析工具,以提供详细的AI模型版本控制和更新信息。此增强功能可帮助组织在软件物料清单的上下文中管理许可、兼容性和合规性问题。Mend.io已经索引了超过35000个公开可用的大型语言模型,以帮助完成这一过程。
对此,Mend.io产品副总裁 Jeffery Martin 强调了这些工具对于使用机器学习运营工作流的数据科学团队的重要性。这些团队通常缺乏网络安全专业知识,这使得人工智能生成的代码容易受到利用。因此,DevSecOps 团队必须具备识别和管理潜在易受攻击的AI生成代码的能力。随着 AI 生成代码使用量的增长,DevSecOps 团队必须解决由此产生的AI安全问题。
原文链接:
https://www.scmagazine.com/brief/mend-io-rolls-out-devops-ai-security-tool
奇安信集团与中国电信陕西公司达成战略合作
近日,奇安信集团与中国电信陕西公司在西安签署战略合作协议。双方将在内生安全、政企ICT领域及联合创新和行业发声等方向进行全面的战略合作,共同打造战略协同、优势互补、资源共享、共赢发展的安全服务业务生态链,促进双方在各自领域创造更大的经济效益和社会效益,开创产业发展新格局。
陕西电信党委书记、总经理上官亚非表示:中国电信近年来加大安全领域的布局,成立了辰安科技公司、量子公司等,推进量子科技与5G、云网、泛智能终端和平台应用等深度融合,建成国内唯一有全网覆盖和全球触达能力的网络攻击防护平台“云堤”。在陕西,天翼云在信创云、政务云的占有份额排名第一。这些都为我们双方合作取得成功奠定了良好的基础。希望双方进一步拓展合作的深度和广度,助力陕西电信自身网信安全能力提升,共同探索和深耕“内生安全、政企ICT领域、安全联合创新、AI人工智能安全、安全威胁情报等领域,向客户提供更好的安全服务。
原文链接: