安全资讯报告
PhoneSpy恶意软件破坏Android隐私
周三,Zimperium zLabs发布了一份关于PhoneSpy的新报告,PhoneSpy是一种间谍软件,旨在渗透在谷歌Android操作系统上运行的手机。
最新的PhoneSpy活动似乎集中在韩国,恶意软件被捆绑到看似良性的移动应用程序中,包括消息传递、瑜伽指导、照片收集和浏览实用程序以及电视/视频流软件。zLabs怀疑感染媒介是使用发布到网站或社交媒体渠道的网络钓鱼链接。
一旦受害者安装并执行应用程序的APK文件,PhoneSpy就会被部署。PhoneSpy的目标是韩语用户,并会抛出一个网络钓鱼页面,假装来自流行的服务——例如Kakao Talk消息应用程序——以请求权限并窃取凭据。
该恶意软件被描述为一种“高级”远程访问木马(RAT),能够悄悄地对受害者进行监视并将数据发送到命令和控制(C2)服务器。PhoneSpy的功能包括通过GPS监控受害者的位置;通过劫持手机麦克风和前后摄像头实时录制音频、图像和视频;拦截和窃取SMS消息、呼叫转移、通话记录和联系人列表盗窃、代表恶意软件的运营商发送消息以及泄露设备信息。
PhoneSpy已开发出具有混淆和隐藏功能,并将隐藏其图标以不被发现——这是间谍软件和跟踪软件采用的常见策略。恶意软件还可能尝试卸载用户应用程序,包括移动安全软件。zLabs认为,该活动已被用来收集“来自受害者的大量个人和公司信息,包括私人通信和照片”。
新闻来源:
https://www.zdnet.com/article/a-stalkers-wishlist-phonespy-malware-destroys-android-privacy/
调查显示,美国勒索软件受害者的平均支付额超600万美元
Mimecast的一份新报告发现,在勒索软件事件发生后,美国在支付金额方面处于领先地位。研究人员与742名网络安全专业人员进行了交谈,发现其中80%在过去两年中已成为勒索软件的目标。
在这80%中,39%支付了赎金,美国受害者平均支付了6,312,190美元。加拿大受害者平均支付5,347,508美元,英国受害者支付了近850,000美元。南非、澳大利亚和德国的受害者平均支付的费用都低于250,000美元。
超过40%的受访者没有支付任何赎金,另外13%的受访者能够通过谈判降低最初的赎金数字。在与Mimecast交谈的742位专家中,超过一半表示勒索软件攻击的主要来源来自带有勒索软件附件的网络钓鱼电子邮件,另有47%表示它们源自“网络安全”。
不到一半的受访者表示他们有文件备份,可以在发生勒索软件攻击时使用,近50%的受访者表示他们需要更大的预算来更新他们的数据安全系统。勒索软件事件的成本远远超出了赎金本身;42%的调查受访者表示他们的运营中断了,36%的受访者表示他们面临着严重的停机时间。近30%的人表示他们失去了收入,21%的人表示他们失去了客户。
近40%的接受调查的网络安全专业人士表示,如果勒索软件攻击成功,他们将失去工作。
新闻来源:
https://www.zdnet.com/article/average-ransomware-payment-for-us-victim-more-than-6-million-mimecast/
新的Android恶意软件以Netflix、Instagram和Twitter用户为目标
一种名为MasterFred的新型Android恶意软件使用虚假登录覆盖来窃取Netflix、Instagram和Twitter用户的信用卡信息。这种新的Android银行木马还针对银行客户提供多种语言的自定义虚假登录覆盖。
Avast威胁实验室的研究人员发现内置的Android辅助功能服务提供的API来恶意覆盖界面。“通过利用默认安装在Android上的应用程序可访问性工具包,攻击者能够使用该应用程序实施Overlay攻击,以欺骗用户输入信用卡信息,以防止Netflix和Twitter上的虚假帐户泄露。”这些Android恶意软件还捆绑了用于显示虚假登录表单和收集受害者财务信息的HTML覆盖层。
新闻来源:
https://www.bleepingcomputer.com/news/security/new-android-malware-targets-netflix-instagram-and-twitter-users/
Lazarus黑客使用木马IDA Pro攻击研究人员
黑客组织Lazarus再次试图入侵安全研究人员,这次是使用流行的IDA Pro(逆向工程应用程序)植入木马的盗版版本。
IDA Pro是一种将可执行文件转换为汇编语言的应用程序,允许安全研究人员和程序员分析程序的工作方式并发现潜在的错误。安全研究人员通常使用IDA来分析合法软件的漏洞和恶意软件。但是,由于IDA Pro是一款昂贵的应用程序,因此一些研究人员下载了盗版破解版而不是购买。
Lazarus黑客组织,长期以来一直利用后门和远程访问木马来攻击安全研究人员。Lazarus攻击还使用Internet Explorer 0day漏洞在安全研究人员访问攻击者发送的链接时在其设备上部署恶意软件。
新闻来源:
https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/
安全漏洞威胁
Palo Alto安全设备中发现零日漏洞
研究人员开发了一种有效利用,通过Palo Alto Networks(PAN)的安全设备中的一个严重漏洞获得远程代码执行(RCE),这可能会使10,000个易受攻击的防火墙及其产品暴露在互联网上。
关键的零日漏洞被追踪为CVE2021-3064,漏洞严重性的CVSS评级为9.8分(满分10分),位于PAN的Global Protect防火墙中。它允许在8.1.17之前的多个版本的PAN-OS8.1上进行未经身份验证的RCE,在物理和虚拟防火墙上。
11102114:04更新:PAN更新涵盖9.0和9.1版,但根据Randori的研究,这些版本不易受到此特定CVE的影响。一位发言人告诉Threatpost,对非8.1版本的任何更新都可能与CVE2021-3064无关。
11102117:28更新:Palo Alto已更新其公告,以澄清此错误不影响8.1.17之前的PAN-OS8.1以外的版本。
Randori研究人员在周三的一篇帖子中表示,如果攻击者成功利用该漏洞,他们可以获得目标系统的shell,访问敏感配置数据,提取凭据等。
之后,攻击者可以跨越目标组织,他们说:“一旦攻击者控制了防火墙,他们就可以看到内部网络并可以继续横向移动。”
通过对暴露在互联网上的设备的Shodan搜索,Randori最初认为“在面向互联网的资产上暴露了70,000多个易受攻击的实例”。
11102117:30更新:Palo Alto Network通知Randori,受影响的设备数量接近10,000。
新闻来源:
https://threatpost.com/massive-zero-day-hole-found-in-palo-alto-security-appliances/176170/
间谍活动者利用ManageEngine ADSelfService Plus漏洞,TA505利用SolarWinds Serv-U漏洞部署勒索软件
Palo Alto Networks的研究人员描述了一场利用Zoho的ManageEngine ADSelfService Plus单点登录(SSO)解决方案中的漏洞的网络间谍活动。美国网络安全和基础设施安全局(CISA)于2021年9月发布了关于此漏洞的警报CVE-2021-40539。CISA称该漏洞是“一个影响表征状态转移(REST)应用程序编程接口(API)的身份验证绕过漏洞可以启用远程代码执行的URL。”
Unit42表示,在9月22日至10月初之间,“该行为者成功地破坏了技术、国防、医疗保健、能源和教育行业的至少九个全球实体。”研究人员尚未将此次活动归因于任何特定的威胁行为者,攻击者正在部署Godzillaweb shell和NGLite木马(两者都是公开可用的),以及一个名为“KdcSponge”的新凭证窃取程序:
TA505利用SolarWinds Serv-U漏洞部署勒索软件。NCC Group研究人员正在追踪利用SolarWinds Serv-U中的远程代码执行漏洞(CVE-2021-35211)的Clop勒索软件攻击的上升趋势。该漏洞于7月由微软披露。NCC Group将这些攻击归咎于网络犯罪分子TA505,并指出:“我们认为,利用此类漏洞是TA505最近的初始访问技术,与攻击者通常的基于网络钓鱼的方法有所不同。”
NCC Group建议用户将运行SolarWinds Serv-U软件的系统更新到最新版本。研究人员指出,截至10月,全球66.5%(2,784)的Serv-U实例仍然容易受到攻击。
新闻来源:
https://thecyberwire.com/newsletters/research-briefing/3/45
微软警告:立即修补Exchange Server漏洞,多因素身份验证可能无法阻止攻击
微软已经为其Exchange内部部署电子邮件服务器软件发布了安全更新,企业应该采用这些更新。这些安全更新针对的是Exchange Server 2013、2016和2019中的缺陷——这些Exchange的内部部署版本在今年早些时候被微软称为Hafnium的黑客组织攻陷。内部部署Exchange服务器软件中的四个漏洞被利用。微软警告说,一个新修补的漏洞-跟踪为CVE-2021-42321-也受到攻击。
Exchange漏洞CVE-2021-42321是Exchange 2016和2019中的一个“身份验证后漏洞。建议立即安装这些更新。“这些漏洞会影响本地Microsoft Exchange Server,包括客户在Exchange混合模式下使用的服务器。Exchange Online客户已经受到保护,无需采取任何行动,”微软指出。
微软证实,双因素身份验证不一定能防止攻击者利用新的Exchange漏洞,尤其是在帐户已被盗用的情况下。如果身份验证成功,那么CVE-2021-42321可能会被利用。
新闻来源:
https://www.zdnet.com/article/exchange-server-bug-patch-now-but-mfa-might-not-stop-these-attacks-warns-microsoft
西门子Nucleus TCP/IP堆栈中的13个漏洞影响关键设备
在Nucleus TCP/IP堆栈中发现了多达13个安全漏洞,该软件库现在由西门子维护,用于30亿个运营技术和物联网设备,可以允许远程代码执行、拒绝服务(DoS),以及信息泄露。
Forescout和Medigate的研究人员在报告中表示,统称为“NUCLEUS:13”,成功利用这些漏洞的攻击可能“导致设备离线并被劫持”,并“将恶意软件传播到网络上的任何地方”周二发布的一份技术报告,其中一个概念验证(PoC)成功展示了一种可能会破坏医疗保健和关键流程的场景。
其中最严重的问题是CVE-2021-31886(CVSS评分:9.8),这是一个影响FTP服务器组件的基于堆栈的缓冲区溢出漏洞,有效地使恶意行为者能够编写任意代码、劫持执行流程和实现代码执行,并在此过程中控制易受攻击的设备。另外两个严重影响FTP服务器的漏洞(CVE-2021-31887和CVE-2021-31888)可以被武器化以实现DoS和远程代码执行。
新闻来源:
https://thehackernews.com/2021/11/13-new-flaws-in-siemens-nucleus-tcpip.html