【安全頭條】Lapsus$涉嫌微軟、英偉達、Okta黑客攻擊被捕
1、Lapsus$涉嫌
微軟、英偉達、Okta
黑客攻擊被捕
當Lapsus$data勒索團伙宣布其幾名成員正在度假時,倫敦市警方表示,他們已經逮捕了七名與該團伙有關的個人。據信,英國牛津的一名未成年人是該組織的領導者之一,該組織泄露了英偉達、三星、微軟和Okta等知名公司的封閉源代碼和專有數據。Lapsus$還聲稱攻擊游戲開發商育碧軟件、電信公司沃達豐和電子商務巨頭Mercado。
該組織新發布的公開信息稱,其部分成員將休假至3月30日。目前尚不清楚Lapsus$有多少會員,但從他們的電報聊天中得到的線索似乎表明,有些會員會說英語、俄語、土耳其語、德語和葡萄牙語。倫敦市警方在向英國廣播公司發表的一份聲明中表示,他們逮捕了7名年齡在16歲至21歲之間的人,“與對一個黑客組織的調查有關”,所有人都在接受調查。目前還沒有公布任何名字,但一些Lapsus$會員的真實身份已經被對手黑客篡改了一段時間。其中一人是一名化名為White/Breakbase的青少年,17歲,來自英國牛津,據信他通過黑客活動積累了超過300 BTC(按今天的價值計算約1300萬美元),SIM卡交換就是其中之一。據稱,懷特在賭博中損失了很大一部分財富,他們的系統沒有受到保護,兩次遭到黑客攻擊。[點擊“閱讀原文”查看詳情]
2、Morgan Stanley客戶賬戶
在社會工程攻擊中被破解
摩根士丹利的財富和資產管理部門摩根士丹利財富管理公司(Morgan Stanley Wealth Management)表示,該公司的一些客戶的賬戶在社會工程攻擊中遭到了破壞。
賬戶違規是vishing(又名語音網絡釣魚)。vishing是一種社會工程攻擊,騙子在語音通話中假冒可信實體(本例中為摩根士丹利),以說服目標泄露或交出銀行或登錄憑據等敏感信息。該公司在發給受影響客戶的通知中稱,“2022年2月11日或前后”,一名冒充摩根士丹利的威脅行為人在欺騙他們提供其摩根士丹利在線賬戶信息后,進入了他們的賬戶。在成功破解他們的賬戶后,攻擊者還通過使用Zelle支付服務發起支付,以電子方式將資金轉移到他們自己的銀行賬戶。
”2021年7月,摩根斯坦利披露了一個數據泄露事件,在Calp RunsWavy幫派竊取屬于其客戶的個人信息后,黑客入侵了摩根斯坦利的第三方供應商之一的GuestHealsAccess FTA服務器。摩根士丹利是美國領先的投資銀行和全球金融服務公司,在全球范圍內提供投資銀行、證券、財富和投資管理服務。其客戶名單包括來自全球41多個國家的公司、政府、機構和個人。[點擊“閱讀原文”查看詳情]
3、網絡釣魚工具
不斷演變,以躲避安全軟件
網絡犯罪論壇上出售的現代網絡釣魚工具包作為現成的軟件包,具有多個復雜的檢測繞過和流量過濾系統,以確保互聯網安全解決方案不會將其標記為威脅。互聯網上有大量模仿知名品牌的虛假網站引誘受害者,竊取他們的支付細節或賬戶憑證。這些網站中的大多數都是使用網絡釣魚工具包構建的,這些工具包具有品牌標識、逼真的登錄頁面,如果是高級產品,則是由一組基本元素組合而成的動態網頁。
由于其提供的自動化功能,威脅參與者廣泛使用網絡釣魚工具,因為他們通常每天必須建立數百個假網站,以替換前一天檢測到并阻止的網站。然而,這并不意味著這些工具包的作者不努力加入反檢測系統,以幫助他們保持更長時間的運行。
卡巴斯基報告說,在2021,它發現了至少469個支持至少120萬個釣魚網站的釣魚網絡工具包。正如這家安全公司強調的那樣,包括反機器人、反檢測和地理攔截功能的復雜網絡釣魚工具的數量不斷增加。這些網站的URL通過電子郵件、即時消息、論壇帖子,甚至YouTube視頻傳播,所以要小心。[點擊“閱讀原文”查看詳情]
4、用于交付RAT惡意軟件的
惡意Microsoft Excel加載項
研究人員報告稱,新版本的JSSLoader遠程訪問木馬正在惡意的Microsoft Excel加載項中分發。這種特殊的RAT(remote access木馬)自2020年12月以來一直在傳播,與出于財務動機的黑客組織FIN7(也稱為“Carbanak”)有關。JSSLoader是一個小型的輕量級RAT,可以執行數據過濾、建立持久性、獲取和加載額外的有效負載、自動更新自身等等。
Morphisec實驗室的威脅分析人員觀察到了最新的一次涉及更隱蔽的新版JSSLoader的活動,他們說,目前的傳遞機制是利用XLL或XLM附件釣魚電子郵件。濫用Excel XLL加載項并不是什么新鮮事,因為它們通常用于合法目的,例如將數據導入工作表或擴展Excel的功能。
然而,在正在進行的活動中,威脅參與者使用一個未簽名的文件,因此Excel將向受害者顯示一個關于執行該文件的風險的明確警告。啟用時,XLL文件使用xlAutoOpen函數中的惡意代碼將自身加載到內存中,然后從遠程服務器下載負載,并通過API調用作為新進程執行。[點擊“閱讀原文”查看詳情]
5、南非希望通過生物識別
檢查來對抗SIM卡交換
南非獨立通信管理局(ICASA)提交了一份提案,以解決該國的SIM卡交換攻擊問題,建議當地服務提供商保留手機號碼所有者的生物識別數據。通過這樣做,Vodacom和MTN等電信公司將能夠使用這些數據來確認請求號碼轉移操作的人是合法所有者。
SIM卡交換攻擊對全球所有國家和服務提供商來說都是個問題,它允許威脅參與者將用戶的號碼轉移到攻擊者的SIM卡上,實質上是劫持用戶帳戶。根據ICASA昨天發布的提案,反SIM交換系統將按如下方式工作:在電信公司網絡上激活移動電話號碼(現有號碼也將被視為新號碼)時,被許可方(服務提供商)必須確保其收集并將訂戶的生物特征數據鏈接到該號碼。被許可方必須確保始終持有指定手機號碼的當前生物特征數據。被許可方收集的生物特征數據必須僅用于認證分配了移動號碼的用戶。[點擊“閱讀原文”查看詳情]
