Kavach 2FA網絡釣魚攻擊活動盯上印度政府
1、Kavach 2FA網絡釣魚攻擊活動盯上印度政府
日前,網絡安全公司Securonix披露稱,有證據表明一個新的網絡釣魚攻擊針對印度政府官員,Securonix將該活動稱為STEPPY KAVACH。
據了解,該最新攻擊序列需要使用網絡釣魚電子郵件來引誘潛在受害者打開一個快捷文件,并使用mshta.exe加載HTA的有效負載。該公司表示,該HTML應用程序被發現托管在一個可能受損的網站上,嵌套在一個不起眼的目錄中,而該網站就是印度德里地區的所得稅部門的官方網站。
2、Linux Kernel爆可遠程執行代碼“關鍵”SMB漏洞
安全專家近日在Linux Kernel中發現了一個“關鍵”漏洞( CVSS 評分為9.6分),黑客可以利用該漏洞攻擊SMB服務器,在遠程執行任意代碼。這個漏洞主要發生在啟用了ksmbd的SMB服務器上。
KSMBD是一個Linux內核服務器,在內核空間實現SMB3協議,用于通過網絡共享文件。一個未經認證的遠程攻擊者可以利用該漏洞執行任意代碼。
ZDI 在公告中表示:“該漏洞允許遠程攻擊者在受影響的Linux Kernel安裝上執行任意代碼。只要系統啟用了ksmbd 就容易被黑客攻擊,而且這個漏洞不需要用戶/管理人員認證。更詳細的解釋是,該漏洞存在于SMB2_TREE_DISCONNECT 命令的處理過程中。這個問題是由于操作對某個對象之前,沒有驗證該對象是否存在。攻擊者可以利用該漏洞在內核中執行任意代碼”。
該漏洞于2022年7月26日被Thales Group Thalium團隊的研究人員Arnaud Gatignol, Quentin Minster, Florent Saudel, Guillaume Teissier 發現。該漏洞于2022年12月22日被公開披露。
3、安全專家警告利用WordPress 禮品卡插件的攻擊
黑客正在積極利用一個被追蹤為 CVE-2022-45359(CVSS v3: 9.8) 的嚴重漏洞,影響 WordPress 插件YITH WooCommerce Gift Cards Premium。該插件允許在線商店的網站銷售禮品卡,這是一個在50000多個網站上使用的WordPress 插件。
據悉,YITH WooCommerce Gift Cards Premium 插件允許在線商店的網站銷售禮品卡,而CVE-2022-45359漏洞是一個任意文件上傳問題,允許未經身份驗證的攻擊者將文件上傳到易受攻擊的站點,包括提供對該站點的完全訪問權限的Web shell。該問題于2022年11月22日被發現,并隨著版本3.20.0的發布得到解決。但由于許多網站仍在使用易受攻擊的插件版本,不法黑客正在探索野外攻擊的缺陷,以便在電子商店上傳后門程序。
4、GuLoader惡意軟件利用新技術逃避安全軟件
網絡安全研究人員揭示了名為GuLoader的高級惡意軟件下載器采用多種技術來逃避安全軟件。
日前,CrowdStrike 研究人員 Sarang Sonawane 和 Donato Onofri在上周發表的一篇技術文章中說:“新的 shellcode 反分析技術試圖通過掃描整個進程內存中任何與虛擬機 (VM) 相關的字符串來阻止研究人員和敵對環境。”
GuLoader又稱CloudEyE,是一種 Visual Basic Script (VBS) 下載程序,用于在受感染的計算機上分發遠程訪問木馬,最早于2019年被首次發現野外利用。2021年11月,一種名為 RATDispenser 的 JavaScript 惡意軟件變種成為通過 Base64 編碼的 VBScript 植入器植入 GuLoader 的渠道。
5、朝鮮黑客發送冒名釣魚郵件攻擊韓外交人員
韓國國際廣播電臺報道:韓國警方調查發現,朝鮮黑客組織冒充記者或國會議員辦公室向韓國外交安全領域專家發送植入惡意代碼或附有釣魚網站地址的郵件,從而竊取專家的郵件內容,不過所幸目前并未造成重大損失。
今年5月,一名韓國外交安全專家收到了一封自稱是國會議員辦公室發送的郵件,信中稱將支付研討會出席費用,并附上了一份支付文件。這份看似平平無奇的文件實際上是惡意代碼,運行后電腦里的所有信息都將外泄。國會議員太永浩表示,這種手段的精巧程度令人吃驚。我剛開始也以為是我們助理發送的郵件,還直接去跟助理進行了確認。
郵件發送人并非國會議員辦公室,而是朝鮮黑客組織。該組織在郵件中自稱為記者,誘導收信人登錄偽裝成國內門戶網站的釣魚網站,進而竊取用戶名和密碼。通過這種方式發送的郵件多達800余封,主要攻擊對象為外交安全領域的專家。警察廳網絡恐怖活動調查隊有關人士表示,這類郵件的一大特點是,攻擊對象均為統一、安全、外交、國防領域的專家。
目前有49名專家遭黑客攻擊,所幸外交安全領域的主要信息并未外泄。
6、蘇黎世保險CEO:網絡攻擊將“無法投保”
近年來不斷上升的網絡損失,促使保險業采取緊急措施,限制自己的風險敞口。一些保險公司在推高保費的同時,還調整了保單,讓客戶承擔更多損失。
歐洲最大保險公司之一的首席執行官警告稱,隨著黑客攻擊造成的破壞繼續加劇,網絡攻擊(而非自然災害)將變得“無法投保”。
近年來,保險業高管越來越多地談到系統性風險,如流行病和氣候變化,這些風險考驗著該行業提供保險的能力。與自然災害相關的索賠預計將連續第二年超過1000億美元。
7、APT-C-36(盲眼鷹)近期攻擊活動分析
APT-C-36(盲眼鷹)是一個疑似來自南美洲的APT組織,主要目標位于哥倫比亞境內,以及南美的一些地區,如厄瓜多爾和巴拿馬。該組織自2018年被發現以來,持續發起針對哥倫比亞國家的政府部門、金融、保險等行業以及大型公司的定向攻擊。
APT-C-36近期常采用魚叉攻擊,以PDF文件作為入口點,誘導用戶點擊文檔里面的惡意鏈接下載RAR壓縮包文件。大部分壓縮包文件需要密碼才能解壓,密碼基本為4位純數字,解壓后是偽裝成PDF文件名的VBS腳本。VBS腳本被用戶點擊執行后將開啟一段復雜多階段的無文件攻擊鏈,最終加載程序為混淆過的AsyncRAT或NjRAT木馬,并且加入了繞過AMSI機制的代碼,這都表明該組織在不斷優化其攻擊武器。
