普普安全資訊一周概覽(0415-0421)

作者:

時間:
2023-04-21

NO.1
黑客向 NPM 發(fā)送大量偽造包,引發(fā) DoS 攻擊

The Hacker News 網(wǎng)站披露,攻擊者在 npm 開源軟件包存儲庫中“投放”大量偽造的軟件包,這些軟件包導(dǎo)致了短暫拒絕服務(wù)(DoS)攻擊。

Checkmarx 的研究人員 Jossef Harush Kadouri 在上周發(fā)布的一份報告中表示,攻擊者利用開源生態(tài)系統(tǒng)在搜索引擎上的良好聲譽(yù),創(chuàng)建惡意網(wǎng)站并發(fā)布帶有惡意網(wǎng)站鏈接的空包,此舉可能導(dǎo)致拒絕服務(wù)(DoS)攻擊,使 NPM 變得極不穩(wěn)定,甚至偶爾會出現(xiàn)服務(wù)不可用的“錯誤”。在最近觀察到的一波攻擊活動中,軟件包版本數(shù)量達(dá)到了 142 萬個,顯然比 npm 上發(fā)布的約 80 萬個軟件包數(shù)量大幅上升。

Harush Kadouri 解釋稱攻擊者“借用”開源存儲庫在搜索引擎中排名創(chuàng)建流氓網(wǎng)站,并在 README.md 文件中上傳空的 npm 模塊和指向這些網(wǎng)站的鏈接。由于開源生態(tài)系統(tǒng)在搜索引擎上享有盛譽(yù),任何新的開源軟件包及其描述都會繼承這一良好聲譽(yù),并在搜索引擎中得到很好的索引,因此毫無戒心的用戶更容易看到它們。


普普點評

鑒于整個攻擊過程都是自動化的,攻擊者會不斷地利用新技術(shù)來發(fā)動網(wǎng)絡(luò)攻擊活動,因此在同毒害軟件供應(yīng)鏈生態(tài)系統(tǒng)的攻擊者進(jìn)行斗爭具有很強(qiáng)的挑戰(zhàn)性, 為了防止此類自動化攻擊活動,一定要采取適當(dāng)?shù)陌踩胧?,以便更好地防止被黑客入侵?/p>

NO.2
微星被竊取1.5TB數(shù)據(jù),黑客索要400萬美元贖金

據(jù)外媒報道,全球硬件巨頭微星(Micro-Star)近日已被一個名為“Money Message”的勒索軟件團(tuán)伙列入受害者名單,該勒索團(tuán)伙發(fā)布了微星CTMS和ERP數(shù)據(jù)庫的截圖,聲稱竊取了微星源代碼、密鑰以及BIOS固件等各種敏感信息。據(jù)悉,微星遭竊取的文件總大小約為1.5TB。Money Message威脅稱,要是微星不在一周內(nèi)支付400萬美元(約合人民幣2750萬元)的贖金,他們就將公開泄露所有竊取得手的文件。

“去跟你的經(jīng)理說,我們有MSI源代碼,包括開發(fā)bios的框架,我們還有私鑰,可以登錄這些bios的任何自定義模塊,并將其安裝在帶有該bios的PC上?!?Money Message的一位黑客對微星代理說道。

在這之后,微星在其官網(wǎng)上發(fā)布了一則聲明,確認(rèn)其最近有部分信息系統(tǒng)遭受了網(wǎng)絡(luò)攻擊。微星表示其信息部門發(fā)現(xiàn)網(wǎng)絡(luò)異常后,及時啟動了相關(guān)防御機(jī)制、采取恢復(fù)措施,并向政府執(zhí)法機(jī)構(gòu)和網(wǎng)絡(luò)安全部門報告了這一事件。目前,受影響的系統(tǒng)已逐步恢復(fù)正常運行,對金融業(yè)務(wù)沒有重大影響。另外,微星還特別敦促用戶僅從其官方網(wǎng)站獲取固件/ BIOS更新,并且不要使用官網(wǎng)以外來源的文件。


普普點評

通過這些事件,我們可以看到風(fēng)靡全球的勒索病毒、各種手段的入侵、防不勝防的個人信息泄露等網(wǎng)絡(luò)安全事件讓網(wǎng)絡(luò)安全面臨層出不窮的新問題。維護(hù)網(wǎng)絡(luò)安全是全社會共同責(zé)任,需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與,共筑網(wǎng)絡(luò)安全防線。只有把網(wǎng)絡(luò)安全意識上升并貫徹到全社會的層面中,才能盡可能的有效避免數(shù)據(jù)泄露。

NO.3
Windows 系統(tǒng)曝高危漏洞,數(shù)十萬個系統(tǒng)面臨風(fēng)險

安全研究人員和專家警告稱,Windows 消息隊列 (MSMQ) 中間件服務(wù)中存在一個高危漏洞 CVE-2023-21554。利用該漏洞,攻擊者能夠在無用戶交互的情況下實現(xiàn)遠(yuǎn)程代碼執(zhí)行,進(jìn)而接管服務(wù)器資源。

Windows 消息隊列 (MSMQ) 在所有Windows版本里都可用,主要用于為應(yīng)用程序提供“消息傳遞保證”網(wǎng)絡(luò)功能、啟動 PowerShell 或控制面板。值得注意的是,該服務(wù)通常在安裝企業(yè)應(yīng)用程序時在后臺啟用,即使應(yīng)用程序卸載后也會繼續(xù)運行。例如,MSMQ 會在 Exchange Server 安裝期間自動啟用。

據(jù) Check Point Research 稱,超過 360,000 臺運行 MSMQ 服務(wù)的 Internet 可用服務(wù)器可能容易受到攻擊。目前已有10個不同的IP地址開始掃描互聯(lián)網(wǎng)上開放的服務(wù)器。雖然微軟已經(jīng)修復(fù)了這個漏洞,但該公司還建議無法緊急應(yīng)用更新的管理員禁用 Windows MSMQ 服務(wù)。無法禁用 MSMQ 或安裝 Microsoft 修補(bǔ)程序的組織可以使用防火墻規(guī)則阻止來自不受信任來源的 1801/TCP 連接。


普普點評

操作系統(tǒng)的安全漏洞是一種常見的安全問題,對系統(tǒng)的穩(wěn)定性和安全性造成威脅。鼎普安全專家建議用戶可以根據(jù)自己的需求和實際情況對操作系統(tǒng)漏洞的防護(hù)進(jìn)行選擇和配置。同時,用戶也應(yīng)該保持警惕,避免點擊來不明來源的鏈接和下載不明來源的軟件。

NO.4
沃爾沃零售商客戶信息遭泄露,涉及大量敏感文件

沃爾沃作為一家瑞典豪華汽車制造商,每年能夠銷售近70萬輛汽車。沃爾沃的客群基本上是一些有一定經(jīng)濟(jì)實力的客戶,這對于一些犯罪分子來說無疑是塊極具吸引力的“肥肉”。據(jù)網(wǎng)絡(luò)新聞研究小組調(diào)查發(fā)現(xiàn),巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續(xù)通過其網(wǎng)站泄露敏感文件,這些信息可能會被一些不懷好意的人拿來用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。美國數(shù)字安全調(diào)查媒體的相關(guān)人員聯(lián)系了Dimas Volvo和負(fù)責(zé)沃爾沃總部數(shù)據(jù)保護(hù)的相關(guān)官員,了解到目前這個信息泄漏的問題已經(jīng)得到了妥善的解決。

在泄露的數(shù)據(jù)中,研究人員還發(fā)現(xiàn)儲存網(wǎng)站源代碼的Git庫的URL,會直接透露出數(shù)據(jù)庫的名稱和創(chuàng)建者。這些攻擊者僅需一個密碼,再配合泄露的憑證信息就能強(qiáng)行訪問數(shù)據(jù)庫,這比同時去猜測出用戶名以及密碼之后才能訪問數(shù)據(jù)庫的方式要快得多。

攻擊者可以利用有關(guān)網(wǎng)站結(jié)構(gòu)的信息來確定開發(fā)者在開發(fā)過程中所采用到的技術(shù),然后把整個過程簡化一下,就可以直接達(dá)到直接入侵網(wǎng)站的目的。


普普點評

為了保障賬戶安全,鼎普安全專家建議在接收電子郵件時要格外小心謹(jǐn)慎,不要隨便點擊鏈接,時刻保持警惕。定期對數(shù)據(jù)安全政策和措施進(jìn)行審計和評估,發(fā)現(xiàn)問題并及時糾正,確保數(shù)據(jù)安全策略和措施能夠適應(yīng)不斷變化的威脅環(huán)境。建立嚴(yán)格的訪問控制機(jī)制,對訪問數(shù)據(jù)的人員進(jìn)行身份驗證和授權(quán)管理,確保數(shù)據(jù)僅能被授權(quán)的人員訪問。

NO.5
微軟 Azure 曝“設(shè)計缺陷”,暴露存儲賬戶

The Hacker News 網(wǎng)站披露,研究人員發(fā)現(xiàn)微軟 Azure 中存在一個”設(shè)計缺陷 ”,一旦攻擊者成功利用,便可以訪問存儲帳戶,甚至可在內(nèi)部系統(tǒng)環(huán)境中橫向移動,執(zhí)行遠(yuǎn)程代碼。

The Hacker News 在與 Orca 分享的一份新報告中表示,攻擊者可以利用該缺陷,通過操縱 Azure 功能竊取更高特權(quán)身份的訪問令牌、橫向移動、秘密訪問關(guān)鍵業(yè)務(wù)資產(chǎn)和執(zhí)行遠(yuǎn)程代碼(RCE),甚至有可能濫用和利用 Microsoft 存儲帳戶。

從微軟的說法來看,Azure 在創(chuàng)建存儲帳戶時會生成兩個 512 位的存儲帳戶訪問密鑰,這些密鑰可用于通過共享密鑰授權(quán)或通過使用共享密鑰簽名的 SAS令牌授權(quán)對數(shù)據(jù)的訪問。更危險的是,這些訪問密鑰可以通過操縱 Azure 功能來竊取,這就給威脅攻擊者留下了升級權(quán)限并接管系統(tǒng)的“后門”。因為在部署 Azure Function 應(yīng)用程序時會創(chuàng)建一個專用存儲帳戶,如果使用管理員身份來調(diào)用 Function 應(yīng)用程序,則可能會濫用該標(biāo)識來執(zhí)行任何命令。


普普點評

在微軟發(fā)布的一份報告中,微軟表示計劃更新 Functions 客戶端工具與存儲帳戶的工作方式,包括對使用身份更好地支持場景的更改。建議企業(yè)考慮禁用Azure共享密鑰授權(quán),改用 Azure 活動目錄認(rèn)證。

NO.6
詐騙集團(tuán)5人被捕,涉案資金高達(dá)9800萬美元!

近日,歐洲刑警組織(Europol)和歐洲司法組織(Eurojust)舉行一次聯(lián)合行動,逮捕了某大型網(wǎng)絡(luò)投資詐騙集團(tuán)五名詐騙分子,該集團(tuán)至少勒索了 3.3 萬名受害者,合計獲得非法收入超 8900萬歐元(約合 9800 萬美元)。

從披露的案件資料來看,該詐騙分子集團(tuán)通過網(wǎng)絡(luò)和社交媒體發(fā)布廣告引誘投資者,并承諾巨額利潤誘騙受害者進(jìn)行最高 250 歐元的小額初始投資。歐洲刑警組織表示,欺詐活動發(fā)生在 2019 年至 2021 期間,2021 年,詐騙分子開始擴(kuò)大詐騙范圍,分別在保加利亞和羅馬尼亞設(shè)立了呼叫中心,冒充所謂的“個人財務(wù)顧問”聯(lián)系受害者,并承諾如果投資便可以獲得高額利潤回報,事實上,一旦受害者打款,錢便立刻被轉(zhuǎn)存至犯罪者的銀行賬戶中。最后,警方披露詐騙分子在烏克蘭、德國、西班牙、拉脫維亞、芬蘭和阿爾巴尼亞等多個歐洲國家建立呼叫中心,通過冒充加密貨幣、股票、債券、期貨和期權(quán)投資合法門戶,并許以高額回報,誘騙潛在投資者進(jìn)行投資。


普普點評

更多的人使用電子設(shè)備和網(wǎng)絡(luò)進(jìn)行生活和工作,網(wǎng)絡(luò)安全意識的加強(qiáng)對于保障個人信息安全尤為重要。應(yīng)注意選用防止惡意軟件的有效軟件,避免連接不知名公共網(wǎng)絡(luò),同時加強(qiáng)信息安全意識,時時關(guān)注自己的社交賬號、銀行賬號等,避免被盜用導(dǎo)致財產(chǎn)損失等不良后果。

NO.7
注意!新的QBot銀行木馬通過電子郵件傳播惡意軟件

近日,卡巴斯基的最新發(fā)現(xiàn)顯示,一個新的QBot惡意軟件正在利用被劫持的商業(yè)電子郵件,分發(fā)惡意軟件。QBot(又名Qakbot或Pinkslipbot)是一個銀行木馬,從2007年開始活躍。除了從網(wǎng)絡(luò)瀏覽器中竊取密碼和cookies,它還作為后門注入有效載荷,如Cobalt Strike或勒索軟件。

該惡意軟件通過網(wǎng)絡(luò)釣魚活動傳播,并不斷更新,通過加入反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)以逃避檢測。正因為這樣,它也成為2023年3月最流行的惡意軟件。早期,QBot的傳播方式是通過受感染的網(wǎng)站和盜版軟件傳播的。現(xiàn)在則是通過銀行木馬已經(jīng)駐留在其計算機(jī)上的惡意軟件,社交工程和垃圾郵件傳遞給潛在的受害者。電子郵件網(wǎng)絡(luò)釣魚攻擊并不新鮮。其目的是誘使受害者打開惡意鏈接或惡意附件,一般情況下,這些文件被偽裝成一個微軟Office 365或微軟Azure警報的封閉式PDF文件。

打開該文件后,就會從一個受感染的網(wǎng)站上檢索到一個存檔文件,該文件又包含了一個混淆的Windows腳本文件(.WSF)。該腳本包含一個PowerShell腳本,從遠(yuǎn)程服務(wù)器下載惡意的DLL。下載的DLL就是QBot惡意軟件。


普普點評

在互聯(lián)網(wǎng)技術(shù)不斷發(fā)展的形勢下,病毒傳播方式可謂是五花八門,其中郵件傳播就是最典型的一種。因此局域網(wǎng)內(nèi)的用戶,在收取郵件的過程中,應(yīng)注重對郵件的過濾,對于陌生郵件應(yīng)借助軟件查殺病毒后,確定安全才可以打開。通常情況下,用戶通過網(wǎng)頁登陸的方式可以避免郵件病毒傳播的可能。如果必須要使用客戶端登陸,則一定要開啟防火墻,做好相應(yīng)的預(yù)防措施,防止網(wǎng)絡(luò)因遭到病毒攻擊而陷入癱瘓狀態(tài)