黑客組織利用MQTT協議部署新后門程序
1、國產APP利用Android漏洞提權使其難以卸載
國內的一個獨立安全研究機構DarkNavy發表文章披露,國內一家互聯網巨頭的APP利用了Android系統漏洞提權使其難以卸載。
報道沒有公開相關公司的名字,但稱得上巨頭也就那四五家公司。報道稱,該APP首先利用了多個廠商OEM代碼中的反序列化漏洞提權,提權控制手機系統之后,該App即開啟了一系列的違規操作,繞過隱私合規監管,大肆收集用戶的隱私信息(包括社交媒體賬戶資料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等)。之后,該 App利用手機廠商OEM代碼中導出的root-path FileContentProvider,進行System App和敏感系統應用文件讀寫;進而突破沙箱機制、繞開權限系統改寫系統關鍵配置文件為自身保活,修改用戶桌面(Launcher)配置隱藏自身或欺騙用戶實現防卸載;隨后,還進一步通過覆蓋動態代碼文件的方式劫持其他應用注入后門執行代碼,進行更加隱蔽的長期駐留;甚至還實現了和間諜軟件一樣的遙控機制,通過遠端“云控開關”控制非法行為的啟動與暫停,來躲避檢測。
2、黑客組織利用MQTT協議部署新后門程序
安全公司ESET報告,黑客組織Mustang Panda aka TA416和Bronze President部署了一種新的后門程序MQsTTang。惡意程序主要通過釣魚郵件傳播,通過一個GitHub軟件庫下載負荷,它會在注冊表增加一個啟動時運行的注冊表項去實現持久存在。為了躲避監測它利用了MQTT協議去進行指令通信。MQsTTang還會檢查主機上是否存在調試器或監控工具,如果有發現,它會相應的改變行為。
3、電動汽車充電設施正成為網絡攻擊的新目標
隨著電動汽車 (EV) 充電基礎設施急于跟上美國電動汽車銷量的急劇增長,網絡攻擊者和安全研究人員等已經開始關注基礎設施中的安全弱點。能源網絡網絡安全公司 Saiflow 的研究人員在開放式充電點協議 (OCPP) 中發現了兩個漏洞,可用于分布式拒絕服務 (DDoS) 攻擊和竊取敏感信息。
2月,能源網絡網絡安全公司 Saiflow 的研究人員在開放式充電點協議 (OCPP) 中發現了兩個漏洞,可用于分布式拒絕服務 (DDoS) 攻擊和竊取敏感信息。愛達荷國家實驗室最近發現,它檢查的每個充電器——更正式地稱為電動汽車供電設備 (EVSE)——運行的是過時版本的 Linux,有不必要的服務,并允許許多服務以 root 身份運行,根據一項調查《能源》雜志上的電動汽車充電漏洞研究。該論文稱,其他潛在的攻擊包括中間人攻擊 (AitM) 和暴露在公共互聯網上的服務。
4、新型TPM 2.0漏洞可能讓黑客竊取加密密鑰
可信平臺模塊 (TPM) 2.0規范受到兩個緩沖區溢出漏洞的影響,這些漏洞可能允許攻擊者訪問或覆蓋敏感數據,例如加密密鑰。
TPM 是一種基于硬件的技術,可為操作系統提供防篡改安全加密功能。它可用于存儲加密密鑰、密碼和其他關鍵數據,這使得其實施中的任何漏洞都值得關注。雖然某些 Windows 安全功能需要 TPM,例如測量啟動、設備加密、Windows Defender System Guard (DRTM)、設備健康證明,但其他更常用的功能不需要 TPM。
但是,當可信平臺模塊可用時,Windows 安全功能在保護敏感信息和加密數據方面獲得增強的安全性。由于需要啟動安全措施并確保 Windows Hello 人臉識別提供可靠的身份驗證,微軟將 TPM 2.0規作為運行Windows 11的要求時,TPM2.0規范受到了歡迎(和爭議)。
Linux 也支持 TPM,但沒有要求在操作系統中使用該模塊。此外,有可用的 Linux 工具允許應用程序和用戶保護 TPM 中的數據。
5、Play勒索軟件團伙泄露奧克蘭市相關數據
Play 勒索軟件組織開始泄露一個10 GB的檔案,其中包含敏感數據,例如員工信息、護照和 ID。
在最近的一次攻擊中,Play 勒索軟件團伙終于開始泄露從奧克蘭市竊取的數據。Play 勒索軟件團伙在最近的一次網絡攻擊中開始泄露他們從奧克蘭市(加利福尼亞州)竊取的數據。
奧克蘭是舊金山灣區東灣區最大的城市,灣區第三大城市,加州人口第八大城市。奧克蘭市于2023年2月10日披露了一次勒索軟件攻擊,安全漏洞始于2023年2月8日。出于謹慎考慮,奧克蘭市將受影響的系統下線,同時他們努力保護受影響的基礎設施。信息技術部通知地方當局并對事件展開調查,以確定問題的范圍和嚴重程度。
6、FBI和CISA聯合警告Royal勒索軟件攻擊風險增加
日前,CISA和FBI發布了一份聯合咨詢報告,強調針對許多美國關鍵基礎設施部門(包括醫療保健、通信和教育)對受到Royal勒索軟件攻擊的風險越來越大。
此前,美國衛生與公眾服務部 (HHS) 發布了一份咨詢報告,其安全團隊于2022年12月透露,勒索軟件行動與針對美國醫療保健組織的多次攻擊有關。
作為回應, FBI 和 CISA 共享了妥協指標和一系列相關的戰術、技術和程序 (TTP),這將幫助防御者檢測并阻止在其網絡上部署 Royal 勒索軟件有效載荷的企圖。
