二維碼網(wǎng)絡(luò )釣魚(yú)攻擊泛濫�����!美國著(zhù)名能源企業(yè)成主要攻擊目標
近日���,Cofense發(fā)現了一次專(zhuān)門(mén)針對美國能源公司的網(wǎng)絡(luò )釣魚(yú)攻擊活動(dòng)����,攻擊者利用二維碼將惡意電子郵件塞進(jìn)收件箱并繞過(guò)安全系統�。在歸因于該活動(dòng)的1,000封電子郵件中����,約有三分之一(29%)是針對美國一家大型能源公司的�,其余的則是針對制造業(yè)(15%)���、保險業(yè)(9%)�����、科技業(yè)(7%)和金融服務(wù)業(yè)(6%)的公司����。攻擊開(kāi)始時(shí)會(huì )先發(fā)送一封釣魚(yú)電子郵件��,提醒收件人必須盡快更新其Microsoft 365帳戶(hù)設置��。郵件中的PNG或PDF附件會(huì )帶有二維碼����,收件人會(huì )被提示掃描以驗證其賬戶(hù)���。為了增加緊迫感����,郵件還指出收件人必須在2-3天內完成這一步驟���。威脅行為者使用嵌入在圖片中的QR代碼繞過(guò)電子郵件安全工具�����,這些工具會(huì )掃描郵件中的已知惡意鏈接�,從而使網(wǎng)絡(luò )釣魚(yú)郵件到達目標收件箱��。為了規避安全問(wèn)題��,釣魚(yú)活動(dòng)中的QR代碼還使用了必應�、Salesforce和Cloudflare的Web3服務(wù)中的重定向功能�����,將目標重定向到Microsoft 365釣魚(yú)頁(yè)面����。
QR碼過(guò)去也曾被攻擊者用于其在法國和德國的網(wǎng)絡(luò )釣魚(yú)活動(dòng)�,盡管規模較小�。此外���,這些詐騙者還利用二維碼誘騙人們掃描��,并將他們重定向到惡意網(wǎng)站�����,試圖竊取他們的錢(qián)財����。網(wǎng)絡(luò )犯罪分子越來(lái)越多地利用二維碼竊取憑證和財務(wù)信息�。盡管二維碼能有效繞過(guò)保護措施����,但它仍然需要受害者采取行動(dòng)才能被破解�����,這是一個(gè)有利于訓練有素人員的決定性緩解因素��。此外�����,現代智能手機上的大多數二維碼掃描器都會(huì )要求用戶(hù)在啟動(dòng)瀏覽器前驗證目標URL����,以此作為保護措施�。除培訓外���,建議企業(yè)使用圖像識別工具作為其網(wǎng)絡(luò )釣魚(yú)防護措施的一部分��,盡管這些工具不能保證捕捉到所有QR代碼威脅���。
房源數據服務(wù)商遭勒索軟件攻擊���,美國房地產(chǎn)市場(chǎng)陷入混亂
過(guò)去五天��,美國加州一家房源掛牌服務(wù)提供商遭遇網(wǎng)絡(luò )攻擊���,導致全國各地房屋買(mǎi)家�、賣(mài)家�、房地產(chǎn)經(jīng)紀人和房源網(wǎng)站業(yè)務(wù)受阻���。該公司提供一項關(guān)鍵在線(xiàn)工具�,幫助房地產(chǎn)專(zhuān)業(yè)人士掛牌房源����、查看待售房源��、追蹤掛牌房源���。這次攻擊始于上周三(8月9日)���,襲擊對象是位于加州的軟件和服務(wù)提供商Rapottoni公司���。該公司為加州乃至全美各地區房地產(chǎn)集團提供多重房源掛牌服務(wù)(也叫MLS)���,房地產(chǎn)經(jīng)紀人可以實(shí)時(shí)獲取各類(lèi)房屋的銷(xiāo)售數據�����,包括即將入市的房屋���、購房報價(jià)以及已入市房屋的銷(xiāo)售信息����。多重房源掛牌服務(wù)在買(mǎi)家與賣(mài)家�、經(jīng)紀人和房源掛牌網(wǎng)站之間架起了重要橋梁����。Rapottoni公司在8月9日遭受黑客攻擊���,持續多天后服務(wù)器仍然處于離線(xiàn)狀態(tài)��。雖然Rapattoni公司將此事稱(chēng)為網(wǎng)絡(luò )攻擊���,但媒體普遍報道這是一次勒索軟件攻擊����。比如房地產(chǎn)信息網(wǎng)站Inman報道稱(chēng)�����,勒索軟件攻擊是導致系統中斷的原因�����。Inman援引Rapattoni向其客戶(hù)發(fā)送的消息���,稱(chēng)聯(lián)邦當局正在展開(kāi)調查���,其保險公司正在與“勒索軟件個(gè)體”進(jìn)行協(xié)商�。
這次系統中斷明確提醒大家����,一旦重要服務(wù)被黑��,大批依賴(lài)這項服務(wù)的人員或企業(yè)將面臨現實(shí)干擾�。人們紛紛采取各種措施以減少影響���,并不是所有地區的房源掛牌服務(wù)都受到影響�����,因為一些地區的數據供應商并不是Rapattoni���。全美范圍內有數百家多重房源掛牌服務(wù)商�����。數據顯示�,Rapattoni提供了其中約5%的服務(wù)�����。如果未來(lái)幾天內無(wú)法恢復服務(wù)�����,這次系統中斷可能會(huì )給經(jīng)紀人���、買(mǎi)家�、租戶(hù)和賣(mài)家造成更嚴重的影響�。
Mac安全專(zhuān)家揭露蘋(píng)果漏洞����,其惡意軟件檢測工具可被繞過(guò)
在美國拉斯維加斯舉辦的Defcon黑客大會(huì )上�����,長(cháng)期研究Mac安全的專(zhuān)家Patrick Wardle展示了他對蘋(píng)果macOS后臺任務(wù)管理機制的漏洞研究成果--——其發(fā)現的漏洞可以被利用來(lái)繞過(guò)蘋(píng)果最近添加的惡意軟件監控工具�。我們知道�����,如果某款軟件突地持久化��,則意味著(zhù)可能存在惡意行為�?;谶@一點(diǎn)���,蘋(píng)果在2022年10月發(fā)布的macOS Ventura中添加了后臺任務(wù)管理器��,用于在“持久化事件”發(fā)生時(shí)直接向用戶(hù)和運行在系統上的第三方安全工具發(fā)送通知���。Wardle在Defcon上表示:“當某個(gè)東西持久化安裝在設備上時(shí)�����,應該有那么一款工具來(lái)通知用戶(hù)��,這是蘋(píng)果添加的一個(gè)好東西——但具體實(shí)施得太糟糕了���,以至于任何稍微復雜的惡意軟件都可以輕易地繞過(guò)監控���?�!睋ardle所說(shuō)�����,他在發(fā)現漏洞的契機是�,他自己就寫(xiě)過(guò)類(lèi)似的工具��,所以對此十分敏感:“我想知道蘋(píng)果的工具和框架是否也有同樣的問(wèn)題�,結果發(fā)現確實(shí)有����。惡意軟件仍然可以以完全不可見(jiàn)的方式持久化�����?��!?/span>
在周六展示的三種繞過(guò)方法中���,其中一種需要擁有目標設備root權限����。但其余兩種則都不需要root權限就能夠禁用蘋(píng)果后臺任務(wù)管理器發(fā)送給用戶(hù)和安全監控產(chǎn)品的持久化通知�。其一利用了警報系統與計算機操作系統核心之間通信的錯誤���;其二利用了一種允許用戶(hù)(即使沒(méi)有深層系統權限)將進(jìn)程置于休眠狀態(tài)的功能在通知到達用戶(hù)之前進(jìn)行干擾�。Wardle此前已向蘋(píng)果公司報告了這些問(wèn)題�����,蘋(píng)果對此進(jìn)行了修復���。但Wardle表示蘋(píng)果沒(méi)有發(fā)現該工具的更深層次問(wèn)題:“就像在飛機墜毀時(shí)貼上一些膠帶一樣��,他們沒(méi)有意識到這個(gè)功能需要大量的工作�����。
“匿名者”組織網(wǎng)絡(luò )攻擊日本核電團體����,抗議福島核廢水排放計劃
國際黑客組織Anonymous(“匿名者”)對日本的核電相關(guān)團體發(fā)起了網(wǎng)絡(luò )攻擊���,以抗議計劃將處理過(guò)的放射性水從癱瘓的福島核電站釋放到海中��。NTT Security Japan表示�����,自上個(gè)月以來(lái)���,國際原子能機構在其最終報告中表示計劃的排放將符合全球安全標準后不久�����,“匿名者”就一直在加強其網(wǎng)絡(luò )攻擊�����。這家總部位于東京的公司的代表表示:“需要保持警惕�����,因為排放實(shí)施后攻擊可能會(huì )進(jìn)一步升級����?���!?/span>該國際黑客組織的目標組織是日本原子能機構���、日本原子能公司和日本原子能協(xié)會(huì )�?!澳涿摺卑l(fā)起了分布式拒絕服務(wù)(DDoS)攻擊���,黑客在短時(shí)間內從多個(gè)來(lái)源釋放大量數據��,導致網(wǎng)絡(luò )不堪重負�,此次攻擊由意大利的一個(gè)組織領(lǐng)導���。NTT Security表示����,一個(gè)位于越南的團體的活動(dòng)也已得到證實(shí)���。日本原子能機構表示�,其網(wǎng)站的流量是平時(shí)的100倍�,但用戶(hù)可以繼續瀏覽該網(wǎng)站�����,因為它采取了對策��。
在日本政府于2021年正式?jīng)Q定從東京電力控股公司福島第一核電站釋放處理過(guò)的水后���,“匿名者”發(fā)布了其攻擊的“目標清單”�����。NTT Security表示�,除了三個(gè)核電相關(guān)組織外���,東京電力公司�,經(jīng)濟��,貿易和工業(yè)部以及自民黨也在名單上���?!澳涿摺眳f(xié)會(huì )的一名成員最近告訴共同社����,日本政府釋放處理水的政策缺乏透明度�����,因為公民無(wú)法參與其決策過(guò)程�����。該成員表示:“我們必須結束將海洋變成經(jīng)濟利益傾倒場(chǎng)的毫無(wú)意義的行為�����?!?span style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: break-word !important; letter-spacing: 0.578px;">
WinRAR解壓縮軟件存在漏洞����,允許黑客執行任意代碼
WinRAR是最為流行的Windows解壓縮軟件之一��,據稱(chēng)擁有數以?xún)|計的用戶(hù)��。近日���,趨勢科技Zero Day Initiative在該軟件中發(fā)現了一個(gè)高危漏洞——打開(kāi)壓縮文件時(shí)會(huì )允許黑客在計算機上執行任意代碼�。據了解�����,該漏洞(CVE-2023-40477)存在于恢復卷的處理過(guò)程中���,原因是缺乏對用戶(hù)提供數據的正確驗證�。2023年6月8日���,Zero Day Initiative的研究員“goodbyeselene”將該漏洞報告給了RARLAB廠(chǎng)商�。ZDI在公告中寫(xiě)道:“此漏洞允許遠程攻擊者在受影響的RARLAB WinRAR安裝上執行任意代碼����。利用此漏洞需要用戶(hù)交互(如打開(kāi)惡意文件)�。具體的缺陷存在于恢復卷的處理過(guò)程中��。問(wèn)題在于缺乏對用戶(hù)提供數據的正確驗證�����,這可能導致內存訪(fǎng)問(wèn)超出已分配緩沖區的末尾��。攻擊者可以利用此漏洞在當前進(jìn)程的上下文中執行代碼���?���!?/span>
從實(shí)際角度來(lái)看�����,攻擊者欺騙用戶(hù)執行所需操作并不會(huì )太過(guò)困難��,而且考慮到WinRAR的龐大用戶(hù)群��,攻擊者有足夠的幾率進(jìn)行成功利用���。對此此類(lèi)安全風(fēng)險�,謹慎打開(kāi)RAR文件��、使用殺毒軟件進(jìn)行掃描是一個(gè)良好的安全習慣�。2023年8月2日���,官方在最新發(fā)布的WinRAR 6.23版本中已修復了此漏洞�,建議WinRAR用戶(hù)立即進(jìn)行安全更新��。值得注意的是�����,微軟目前正在測試Windows 11對RAR��、7-Zip等文件的原生支持��,此后若是對其高級功能沒(méi)有需求�����,將有可能不再需要WinRAR等第三方軟件�。
日本鐘表制造商精工 (Seiko) 遭BlackCat勒索軟件攻擊
精工(Seiko)是世界上最大�、歷史最悠久的制表商之一��,成立于1975年���,總部位于日本東京����,擁有超過(guò)12,000名員工����,截至 2023年3月���,年利潤為8.2497 億美元��,年收入超過(guò)16億美元���。2023年8月10日����,該公司發(fā)布了一份數據泄露通知��,通知未經(jīng)授權的第三方獲得了對其IT基礎設施的至少一部分的訪(fǎng)問(wèn)權限����,并訪(fǎng)問(wèn)或竊取了數據���。目前還沒(méi)有關(guān)于勒索贖金數額�、支付�、談判相關(guān)的消息�。Seiko的聲明中寫(xiě)道:“似乎[2023年7月28日]一些身份不明的團體獲得了對我們至少一臺服務(wù)器的未經(jīng)授權的訪(fǎng)問(wèn)����?����!盉lackCat聲稱(chēng)對攻擊負責����,BlackCat勒索軟件組織聲稱(chēng)是Seiko攻擊的幕后黑手����,并發(fā)布了他們聲稱(chēng)在攻擊期間竊取的數據樣本��。在列表中���,威脅行為者嘲笑Seiko的IT安全性�,并泄露了看似生產(chǎn)計劃��、員工護照掃描�、新型號發(fā)布計劃和專(zhuān)門(mén)實(shí)驗室測試結果的內容�����。最令人擔憂(yōu)的是�,威脅行為者泄露了他們聲稱(chēng)的機密技術(shù)原理圖和精工手表設計的樣本���。
日本的組織正面臨越來(lái)越多的勒索軟件攻擊���。制藥公司衛材(Eisai)和拉鏈制造商YKK等日本主要公司在過(guò)去三個(gè)月中都曾處理過(guò)勒索軟件事件���。上個(gè)月名古屋港(日本最大的港口之一)遭受的攻擊凸顯了勒索軟件事件的連鎖危險�����。近幾個(gè)月來(lái)��,BlackCat將從多家公司竊取的機密數據發(fā)布到其受害者門(mén)戶(hù)網(wǎng)站���,其中包括5月份從愛(ài)爾蘭蒙斯特大學(xué)竊取的6GB數據��。6月�����,巴特健康NHS信托基金 (Bart's Health NHS Trust) 也出現了���。該團伙聲稱(chēng)已從該醫療組織盜取了70 TB 的數據�。
網(wǎng)絡(luò )攻擊迫使天文望遠鏡停運數周��,全球天文科研遭受沉重打擊
美國國家光學(xué)紅外天文研究實(shí)驗室(NOIRLab)是美國國家科學(xué)基金會(huì )運營(yíng)的地基天文學(xué)協(xié)調中心��。8月1日���,該實(shí)驗室發(fā)布新聞公告��,首次宣布檢測到其位于夏威夷希羅的北雙子座天文望遠鏡遭到明顯的網(wǎng)絡(luò )攻擊��,可能給這臺儀器帶來(lái)物理危險��。該實(shí)驗室在公告中寫(xiě)道:“我們的網(wǎng)絡(luò )安全團隊和觀(guān)測團隊快速反應���,阻止天文臺受損����?����!弊鳛閷@一事件的回應����,該實(shí)驗室停止了國際雙子座天文臺的一切運營(yíng)���。這家天文臺負責運行位于夏威夷希羅的北雙子座天文望遠鏡和位于智利帕穹山的南雙子座天文望遠鏡��。這兩臺直徑8.1米的天然望遠鏡一起揭示了從超新星誕生到距離地球最近的黑洞等大量天體奇觀(guān)��。此次關(guān)閉已經(jīng)讓他錯過(guò)了今年的七個(gè)觀(guān)測窗口中的三個(gè)���,如果天文望遠鏡無(wú)法恢復運行�����,整個(gè)天文學(xué)界可能遭到 “毀滅性打擊”���。目前��,南雙子座天文望遠鏡裝有一只獨特的光譜儀����,可以表征遙遠行星的大氣��。根據計劃���,這只儀器將于2024年5月轉移到北半球一座較小的天文望遠鏡上��。如果南雙子座天文望遠鏡不盡快重新啟動(dòng)�����,且儀器轉移如期進(jìn)行�����,可以預見(jiàn)天文學(xué)家將失去獲得南天球寶貴光譜數據的機會(huì )��。
網(wǎng)絡(luò )安全專(zhuān)家對北雙子座天文望遠鏡成為目標感到困惑�����。美國國家科學(xué)基金會(huì )網(wǎng)絡(luò )安全卓越中心前主任Von Welch說(shuō)���,“攻擊者很可能壓根不知道他們攻擊的是一座天文臺��?�!?/span>這一事件再次為天文學(xué)界敲響了警鐘����。2022年11月�����,位于智利的阿塔卡馬大型毫米波列射電望遠鏡因為網(wǎng)絡(luò )攻擊也暫停運行了近兩個(gè)月�。NOIRLab等國際研究機構面臨著(zhù)獨特的安全挑戰�,獨立的私營(yíng)公司或銀行可以輕易地隔離自己的系統�。相反���,天文學(xué)研究的性質(zhì)是開(kāi)放獲取和團隊協(xié)作��。“最好的做法是將所有東西都隔離起來(lái)����。但是��,這樣就打破了所有的科學(xué)工作流程�。”