新闻速览
•美国众议院议员要求对我国无线路由器厂商TP-Link发起安全调查
•网易官方回应“网易云音乐”宕机故障
•一男子因非法获取、售卖公民个人信息获刑5年
•Sophos X-Ops报告:勒索团伙的战术升级让人不寒而栗
•可从多款浏览器获取数据,研究人员披露一种新型macOS恶意软件
•新型勒索软件团伙利用社交工程攻击AnyDesk用户
•FIN7网络犯罪组织启用新的攻击基础设施
•黑客组织Lazarus利用Windows零日漏洞获取非法访问权
•《华盛顿时报》被盗数据标价30万美金在暗网被兜售
热点观察
美国众议院议员要求对我国无线路由器厂商TP-Link发起安全调查
据媒体报道,美国众议院中国问题特别委员会的共和党众议员John Moolenaar和民主党众议员Raja Krishnamoorthi日前致信美国商务部,要求在本月30日前评估启动对我国无线路由器生产商TP-Link及其附属公司的安全调查活动。他们在信中宣称,这是一个"显而易见的国家安全问题",TP-Link生产的WiFi路由器可能被用于针对美国的网络攻击,并对美国国家安全构成潜在风险。
对此,美国商务部表示将会在充分评估后再回应这封信。而中国驻美大使馆则表示,希望美国有关当局"在识别网络相关事件时有足够的证据,而不是做出毫无根据的推测和指控"。
据了解,美国政界和相关机构此前已多次对TP-Link路由设备安全性的进行了指责和质疑。2023年5月,美国网络安全和基础设施安全局指出TP-Link路由器存在可被利用执行远程代码的漏洞;美国安全公司Check Point在报告也宣称,有黑客组织利用TP-Link的恶意固件植入程序,针对欧洲外交官员发动攻击。这些事件凸显了网络安全问题的复杂性,以及在国际关系中科技和安全议题的敏感性。
原文链接:
https://www.infosecurity-magazine.com/news/us-committee-investigation-tplink/
https://mp.weixin.qq.com/s/zRhrg-XNFTvEf4nlXgzvuQ
网易官方回应“网易云音乐”宕机故障
8月19日下午,有用户发现网易云音乐打开时显示“服务器发生错误”,出现音乐无法正常播放、电脑网页版显示“502 Bad Gateway”等问题。“网易云音乐崩了”也登上微博热搜,网易云音乐“内部人员删库跑路”的传闻漫网飞,相关话题阅读量达4亿,讨论量超17万。还好这只是虚惊一场。
对于系统故障,网易云音乐当天下午15:08在官方微博发文回应称,因基础设施故障,导致网易云音乐各端无法正常使用,正在加紧修复。
对于传言,网易云音乐官方微博于当日下午5:30再次发文回应称,“没有删库,没有跑路,故障已陆续修复”。同时,网易云音乐还提出了对用户的补偿方案。用户可在8月20日0点至24点,搜索“畅听音乐”,领取7天会员权益至个人账户。
原文链接:
https://mp.weixin.qq.com/s/OgSsStwVO_NRCF4Mq_I_zg
一男子因非法获取、售卖公民个人信息获刑5年
近日,一男子天某某被北京市朝阳区人民法院判决犯侵犯公民个人信息罪,判处有期徒刑五年,罚金一百万元。
据法院通报,2022年4月至8月间,天某某伙同他人,通过爬取、交换、购买等方式获取大量公民个人信息后,利用境外聊天软件向他人有偿提供公民信息查询。经鉴定,在起获的被告人天某某的电脑内,共存储上亿条信息记录,其中包含姓名、手机号、证件号以及交易信息,车辆信息,用户密码等多种个人信息,部分信息较为敏感,给不特定公民的人身、财产安全造成极大的风险和隐患。天某某还让张某担任聊天软件客服负责解答客户问题,让陈某某帮助存储、转发部分公民个人信息。
法院认为,被告人天某某、张某、陈某某的行为均已构成侵犯公民个人信息罪,依法均应予惩处。一审判决后,被告人均未上诉,案件已生效。
原文链接:
https://legal.gmw.cn/2024-08/15/content_37503059.htm
Sophos X-Ops报告:勒索团伙的战术升级让人不寒而栗
Sophos X-Ops近日发布了一个新的报告,揭示了勒索软件团伙正在采用一系列新的、更具侵略性的策略,以增加获得赎金的可能性。这些新策略不仅包括技术层面的升级,还涉及心理操纵和公关手段,使得网络安全威胁变得更加复杂和难以应对。
一是利用新规定施压。美国证券交易委员会(SEC)最新规定要求上市公司在发现可能产生"实质性"影响的安全事件后的四天内提交披露文件。勒索软件团伙正巧利用这一规定,通过威胁公开泄露数据来迫使企业尽快支付赎金。
二是伪装成正义使者。为了增加压力,一些网络犯罪分子采取了更加复杂的心理战术,鼓励个人信息被泄露的受害者参与诉讼,公开指责目标企业"不道德"、"不负责任"或"疏忽",将自己塑造成"诚实的渗透测试员"或进行网络安全研究的专业人士,还点名职责特定个人和高管对数据泄露负有责任。
三是寻求媒体关注。与传统印象不同,现代勒索软件团伙正积极寻求媒体曝光,甚至还提供FAQ页面和新闻稿。
报告认为,这些激进措施的根本目的是为了获得更多赎金。网络犯罪的本质是逐利,他们不断创新以增加获得重大赔付的可能性。
原文链接:
https://venturebeat.com/security/sophos-x-ops-ransomware-gangs-escalating-tactics-going-to-chilling-lengths/
网络攻击
可从多款浏览器获取数据,研究人员披露一种新型macOS恶意软件
近日,研究人员发现了一款名为Banshee Stealer的新型macOS恶意软件,其月订阅费高达3000美元。该恶意软件于2024年8月首次被发现,能够同时针对x86_64和ARM64架构的macOS系统,具有强大的跨平台攻击能力。该恶意软件因对macOS系统的关注,以及收集数据的广度,引起了网络安全界的关注。
Banshee Steale可以从被感染系统中窃取各种数据,包括浏览器数据、加密货币钱包信息以及约100个浏览器扩展的相关数据,还能从Chrome、Firefox等9种主流浏览器中获取cookies、登录信息和浏览历史。该恶意软件使用ditto命令将窃取的数据压缩为ZIP文件,经XOR加密和base64编码后,通过cURL命令以POST请求发送至指定URL。
该恶意软件使用sysctl API检测调试,通过命令行检查硬件型号标识符判断虚拟化环境,并利用CFLocaleCopyPreferredLanguages API检查用户首选语言,避开以俄语为主要语言的系统。
Elastic Security Labs的研究人员对Banshee Stealer进行了深入分析后指出,由于缺乏复杂的混淆技术和调试信息,分析师能够相对容易地对其进行分析和理解。
原文链接:
https://securityaffairs.com/167138/malware/banshee-stealer-macos-malware.html
新型勒索软件团伙利用社交工程攻击AnyDesk用户
日前,网络安全专家警告,新型勒索软件团伙“The Mad Liberator”正在针对远程访问工具AnyDesk的用户发动攻击以窃取数据,并伪装成Microsoft Windows更新界面掩盖行动。
根据Sophos X-Ops事件响应团队的报告,该团伙自2024年7月以来开始活跃,通过社交工程技术获取受害者的环境访问权限,特别是针对使用AnyDesk的组织。
AnyDesk为每个设备分配一个独特的10位数字ID,用户可通过输入该ID请求远程访问或邀请他人控制设备。当用户收到AnyDesk连接请求时,会弹出窗口提示用户授权。受害者通常认为这是IT部门的常规维护,因此会点击接受。一旦连接建立,攻击者会将一个名为“Microsoft Windows更新”的二进制文件传输到受害者设备并执行。攻击者通过映射网络共享使用AnyDesk访问受害者的OneDrive账户和中央服务器上的文件,并利用AnyDesk的文件传输功能进行窃取数据。随后,他们使用高级IP扫描工具搜索其他可利用的设备,但没有进行横向移动。
根据报告,攻击持续近四个小时。该团伙使用伪装成Windows更新的恶意软件,可能是为了规避大多数杀毒软件的检测。同时,为了防止用户通过按“Esc”键退出假冒更新屏幕,攻击者利用AnyDesk的功能禁用用户的键盘和鼠标输入。
原文链接:
https://securityaffairs.com/167231/malware/mad-liberator-ransomware-social-engineering.html
FIN7网络犯罪组织启用新的攻击基础设施
日前,网络安全研究人员发现FIN7网络犯罪组织已经开始启用新的攻击基础设施。
Cymru团队一项联合调查后发布的报告中表示,最新发现的FIN7活动集群数据显示,攻击者分别从分配给俄罗斯宽带提供商Post Ltd和爱沙尼亚云托管提供商SmartApe的IP地址与FIN7攻击基础设施进行了通信。
调查还发现了专门用于托管FIN7基础设施的几个Stark Industries IP地址,与该网络犯罪组织有关的主机很可能是从Stark的一家经销商购买的。在过去的30天里,来自第一批集群与此前发现的至少15个由Stark分配的主机(比如86.104.72[.]16)进行通信。同样,来自爱沙尼亚的第二批集群与至少16个由Stark分配的主机进行通信。
在相关研究成果披露之后,Stark目前已暂停了相关服务。
原文链接:
https://thehackernews.com/2024/08/researchers-uncover-new-infrastructure.html
黑客组织Lazarus利用Windows零日漏洞获取非法访问权
日前,安全研究人员发现,臭名昭著的黑客组织Lazarus(又称APT38)利用Windows AFD.sys驱动中的一个零日漏洞(CVE-2024-38193)获取目标系统的内核级访问权限,主要针对加密货币和航空航天领域的专业人士发起攻击。
Lazarus Group自2009年以来一直活跃,以针对金融机构、政府实体和企业的高调网络攻击而闻名。攻击者通过利用AFD.sys驱动(Windows处理高级文件操作的关键组件)绕过安全限制,访问通常对用户和管理员封闭的系统区域。为逃避检测,Lazarus使用了名为Fudmodule的隐蔽恶意软件,企图渗透网络并窃取加密货币以资助其行动。
该漏洞在6月初被发现,微软在Gen Threat Labs提供详细利用代码的帮助下在同月迅速修复了该漏洞。微软提醒,成功利用该漏洞的攻击者可能获得系统级权限,并敦促所有用户及时更新系统以确保安全。
原文链接:
https://cybersecuritynews.com/windows-0-day-flaw-exploited/
《华盛顿时报》被盗数据标价30万美金在暗网被兜售
近日,臭名昭著的Rhysida勒索软件团伙声称将在一周内以30.45万美元等值的比特币出售从《华盛顿时报》服务器上窃取的数据。这一举动表明该团伙此前可能已成功加密了这家保守派报纸的服务器,并通过在暗网上出售被盗信息来获利。
但是有分析认为,该团伙可能只是利用美国知名报纸的名义来吸引国际媒体的关注,因为目前该团伙并没有出示明确证据证明所宣称的数据确实属于《华盛顿时报》。
Rhysida团伙以蜈蚣命名,通常以医疗保健相关网络为攻击目标,已成为国家基础设施安全的重要关注点。网络安全公司Sophos的调查显示,Vice Society团伙是Rhysida的幕后操控者,以“恶意软件即服务"的模式运作。2023年11月,美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)曾联合发布警告,提醒各界警惕Rhysida团伙可能带来的威胁。
原文链接:
https://www.cybersecurity-insiders.com/rhysida-ransomware-selling-the-washington-times-data-for-304500/