CSTIS就防范KTLVdoor恶意软件发布风险提示;山西农商联合银行因数据安全管理不力被监管处罚 | 牛览
日期:2024年09月27日 阅:79
新闻速览
•国家计算机病毒应急处理中心监测发现13款违规移动应用
•CSTIS就防范KTLVdoor恶意软件发布风险提示
•山西农商联合银行因数据安全管理不力被监管处罚
•跨国汇款服务商MoneyGram遭受网络攻击,服务中断数日
•美国国会大厦遭到大规模网络攻击,近两成工作人员信息泄露
•Chrome最新防御机制失灵,可被多款恶意软件轻松绕过
•云通讯平台Twilio1.2万条通话记录或因第三方工具漏洞泄露
•一种新型移动恶意软件变种Octo2威胁金融安全
•RomCom恶意软件升级:SnipBot变种悄然来袭
特别关注
国家计算机病毒应急处理中心监测发现13款违规移动应用
近日,国家计算机病毒应急处理中心通过互联网监测发现13款移动App存在隐私不合规行为,包括隐私政策难以访问、未声明App运营者的基本情况、未声明隐私政策时效,以及隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等。
这些存在违规的App分别为:
《友车友货》(版本1.2.2,应用宝)
《坦克风云OL》(版本1.6.13,豌豆荚)
《环球翻译官》(版本1.5.7,小米应用商店)
《天津出行》(版本1.24.0,应用宝)
《灵秀高台》(版本3.2.8,应用宝)
《甘肃农信》(版本4.3.0,应用宝)
《兰停序》(版本2.2,华为应用商店)
《新灵台》(版本4.0.0,华为应用商店)
《约驾校》(版本2.1.84,腾牛网)
《华金期货》(版本7.0.11.2,百度手机助手)
《韩语翻译》(版本1.5.6,豌豆荚)
《诺嘉云管理3》(版本v1.0.9,pc6.com)
《樱花少女校园模拟器》(版本1.0.4,2265安卓网)
国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
原文链接:
https://mp.weixin.qq.com/s/gdNsGfe7J0PjqFeM3da80g
CSTIS就防范KTLVdoor恶意软件发布风险提示
9月25日,工业和信息化部网络安全威胁与漏洞信息共享平台(CSTIS)发布《关于防范KTLVdoor恶意软件的风险提示》,指出黑客组织正在利用KTLVdoor新型跨平台恶意软件实施网络攻击,主要攻击目标为Windows和Linux操作系统。
KTLVdoor是一种采用Golang语言编写的恶意软件,具备跨平台攻击能力。该恶意软件通过伪装成系统程序,并以动态链接库(.dll文件,针对Windows系统)或共享对象(.so文件,针对Linux系统)的形式进行传播,在安装成功后会经过高度混淆与伪装,部署一个或多个后门组件,同时修改系统的关键网络配置,包括防火墙规则和代理设置等,以此规避安全软件的检测和拦截。同时,该恶意软件还采用GZIP压缩技术和AES-GCM等加密手段,确保能够隐秘且安全地与控制(C&C)服务器保持通信,进一步实现在受感染的主机上执行指令。
CSTIS建议相关单位及用户立即组织排查,定期更新系统与软件,实施全盘病毒查杀,谨慎下载运行来源不明的应用程序,及时修复已知安全漏洞,防范网络攻击风险。
原文链接:
https://mp.weixin.qq.com/s/YqrZg7t-gH-8hfHxXqBxbg
热点观察
山西农商联合银行因数据安全管理不力被监管处罚
近日,山西农村商业联合银行股份有限公司因数据安全管理较粗放,存在数据泄露风险;对网上银行外包管理不到位导致发生二级网络安全事件,被国家金融监督管理总局山西监管局处罚款60万元。
值得一提的是,山西农村商业联合银行在2023年11月获准开业,开业仅10个多月就收到了来自监管部门的罚单。该行是在山西省联社基础上组建的,具有独立企业法人资格的地方性银行业金融机构,是首家采取“上参下”模式(即由省联社向市县农信机构逐级参股)改革的省级农信社。
原文链接:
网络攻击
跨国汇款服务商MoneyGram遭受网络攻击,服务中断数日
9月24日,全球知名的跨境支付和汇款服务提供商MoneyGram正式确认遭遇网络安全攻击,导致其系统自9月20日以来处于持续瘫痪状态。这一事件严重影响了该公司的全球业务运营,引发了大量客户对服务中断的投诉。
MoneyGram是一家业务遍及200个国家、拥有35万个实体网点的国际汇款公司,每年处理超过1.2亿笔交易,用户数量达到数千万。9月20日,大量用户报告无法通过MoneyGram服务接收付款或访问资金,公司网站也无法访问。MoneyGram在公告中透露,发现了影响某些系统的网络安全问题,并启动调查并采取保护措施,包括主动将系统下线,从而影响了与其系统的网络连接。尽管MoneyGram尚未透露遭受了何种类型的攻击,但长时间的系统停机和连接中断表明这可能是一起勒索软件攻击。
考虑到MoneyGram庞大的客户群,潜在的数据泄露可能对众多用户产生深远影响。MoneyGram表示正在与外部专家和执法部门密切合作,并努力修复系统,恢复正常业务运营。
原文链接:
美国国会大厦遭到大规模网络攻击,近两成工作人员信息泄露
据《华盛顿时报》报道,在一次针对美国国会大厦的大范围网络攻击中,3000多名国会工作人员的个人信息在暗网上泄露。互联网安全公司Proton调查了这一数据泄露事件后,在暗网上发现了国会工作人员使用的1800多个密码。
据介绍,这一事件导致近五分之一国会工作人员的个人信息泄露。泄露的信息来自多个来源,包括社交媒体、约会应用程序以及成人网站。许多泄密事件之所以发生,是由于工作人员使用官方电子邮件地址注册各种服务,包括约会和成人网站等高风险网站,这些网站后来遭遇了数据泄密事件。
Proton表示,将在接下来几周公布更多的调查结果,确保选举期间政治体系的安全性和有效性。该公司还联系了所有受影响的国会工作人员,向他们通报了泄密事件。
原文链接:
https://www.newsweek.com/us-capitol-dark-web-cyber-attack-reports-1958485
Chrome最新防御机制失灵,可被多款恶意软件轻松绕过
近日,多款知名信息窃取恶意软件的开发者声称已成功绕过谷歌Chrome浏览器最新推出的应用绑定加密功能,引发网络安全界的广泛关注。这一防御机制原本旨在保护用户的敏感数据,如cookies和存储的密码,但似乎已在短时间内被攻破。
安全研究人员观察到,包括MeduzaStealer、Whitesnake、Lumma Stealer、Lumar(PovertyStealer)、Vidar Stealer和StealC在内的多个恶意软件开发者宣称已实现有效绕过,并确认最新版本的Lumma Stealer确实能够绕过Chrome 129(当前最新版本)中的加密功能。Lumar最初采用了一种需要管理员权限的临时解决方案,但随后也开发出了可在普通用户权限下运行的绕过方法。Lumma Stealer的开发者还向其客户保证,无需管理员权限即可实现cookie盗窃。虽然具体的绕过技术尚未公开,但Rhadamanthys恶意软件的作者声称仅用10分钟就完成了对加密的逆向工程。这一说法如果属实,将严重威胁Chrome用户的数据安全。
Chrome安全团队此前表示,为绕过这一保护,恶意软件需要系统权限或向Chrome注入代码才能绕过保护,这两种操作都可能触发安全工具的警告。然而,最新的绕过方法似乎已经克服了这些障碍。目前,谷歌尚未就这一情况做出官方回应。
原文链接:
云通讯平台Twilio1.2万条通话记录或因第三方工具漏洞泄露
近日,黑客grep在网上公开了超过1.2万条疑似属于Twilio客户的通话记录,其中包含电话号码和音频录音。这一事件引发了广泛关注,暴露了使用该服务的企业和个人面临的重大隐私风险。
Twilio是一家总部位于旧金山的云通信平台,为开发者提供语音、消息、视频和身份验证功能的API集成服务。截至2024年,该公司拥有超过35万个活跃客户账户,此次泄露约占总账户的3.37%。
泄露的数据包含两个TXT文件,记录了从2019年6月14日到2024年9月23日的通话信息。第一个文件是基本通话日志,包括通话开始和结束时间、电话号码、通话状态和持续时间等信息。第二个文件则包含更详细的记录,涉及口译服务相关的信息,如语言、费率和会话详情。泄露的数据中还包含了实际的通话录音,这些录音可能包含敏感的个人或商业信息,为攻击者提供了进行敲诈、欺诈或冒充的机会。同时,泄露的电话号码也可能成为短信钓鱼(smishing)和语音钓鱼(vishing)诈骗的目标。
对此,Twilio迅速回应称,公司并未遭到直接攻击,而是Twilio的一位客户使用了一个存在漏洞的第三方软件工具时,不慎暴露了自己的Twilio数据。Twilio表示已通知该客户,并且他们已经采取措施保护其账户。
原文链接:
https://hackread.com/hacker-leaks-twilio-call-records-audio-recordings/
一种新型移动恶意软件变种Octo2威胁金融安全
近日,网络安全公司ThreatFabric发现了一款名为“Octo2”的新型恶意软件变种,对全球移动银行用户构成严重威胁。作为Octo恶意软件家族的最新成员,Octo2引入了多项复杂功能,显著提升了远程访问能力和规避检测的能力,使其成为当前最具威胁的移动恶意软件之一。
Octo2的主要增强功能集中在提升远程访问能力的稳定性上,这是设备接管攻击中的关键特性。ThreatFabric的研究人员指出,该变种在远程控制会话中显著降低了延迟,即使在网络条件较差的情况下,也能通过优化数据传输来保持稳定连接。此外,Octo2还集成了先进的混淆技术,包括域名生成算法(DGA),使恶意软件能够动态更改其指挥与控制(C2)服务器地址,从而大大增加了检测难度。网络犯罪分子将Octo2伪装成合法应用程序,如Google Chrome和NordVPN,以欺骗用户安装。该恶意软件还被设计用于拦截特定应用程序的推送通知,表明这些应用程序可能是攻击者的重点关注对象。
网络安全专家强调,Octo2变种的出现标志着移动恶意软件的重大演变,尤其是在银行安全领域。预计Octo2将在移动恶意软件领域中继续扮演重要角色,与基于泄露源代码的旧变种并存。
原文链接:
https://www.infosecurity-magazine.com/news/octo2-malware-threatens-mobile/
RomCom恶意软件升级:SnipBot变种悄然来袭
近日,网络安全研究人员发现,曾在去年肆虐乌克兰及其支持者的RomCom网络间谍恶意软件以新变种SnipBot重出江湖。这一最新版本展现出从勒索软件向纯粹间谍活动转变的趋势,采用多阶段攻击方式,利用有效的代码签名证书实施隐蔽性攻击。
Unit 42的研究人员分析,SnipBot自2023年12月以来一直在传播,是RomCom远程访问木马(RAT)家族的5.0版本。它结合了RomCom 3.0的基础和RomCom 4.0的部分技术特征。与早期版本追求经济利益不同,SnipBot专注于情报收集活动。
SnipBot的攻击链始于钓鱼邮件,通过伪装成PDF文件的可执行文件或引导至恶意程序的实际PDF文件进行初始感染。恶意软件分为多个阶段:首先是一个使用合法有效代码签名证书的下载器,随后是未签名的后续负载。下载器采用基于窗口消息的控制流混淆算法,并使用两种简单但有效的反沙箱技术。执行时,SnipBot会联系多个命令与控制(C2)域获取PDF文件,然后将后续有效载荷发送到受感染机器。其主要模块为攻击者提供了在受害者系统上执行命令、上传下载文件以及部署额外有效载荷的能力。研究人员还观察到感染后的活动,包括收集内部网络信息和尝试导出受害者文档。
原文链接:
https://www.darkreading.com/threat-intelligence/romcom-malware-resurfaces-snipbot-variant