普普安全资讯一周概览(0415-0421)

作者:

时间:
2023-04-21

NO.1
黑客向 NPM 发送大量伪造包,引发 DoS 攻击

The Hacker News 网站披露,攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包,这些软件包导致了短暂拒绝服务(DoS)攻击。

Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示,攻击者利用开源生态系统在搜索引擎上的良好声誉,创建恶意网站并发布带有恶意网站链接的空包,此举可能导致拒绝服务(DoS)攻击,使 NPM 变得极不稳定,甚至偶尔会出现服务不可用的“错误”。在最近观察到的一波攻击活动中,软件包版本数量达到了 142 万个,显然比 npm 上发布的约 80 万个软件包数量大幅上升。

Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站,并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉,任何新的开源软件包及其描述都会继承这一良好声誉,并在搜索引擎中得到很好的索引,因此毫无戒心的用户更容易看到它们。


普普点评

鉴于整个攻击过程都是自动化的,攻击者会不断地利用新技术来发动网络攻击活动,因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性, 为了防止此类自动化攻击活动,一定要采取适当的安全措施,以便更好地防止被黑客入侵。

NO.2
微星被窃取1.5TB数据,黑客索要400万美元赎金

据外媒报道,全球硬件巨头微星(Micro-Star)近日已被一个名为“Money Message”的勒索软件团伙列入受害者名单,该勒索团伙发布了微星CTMS和ERP数据库的截图,声称窃取了微星源代码、密钥以及BIOS固件等各种敏感信息。据悉,微星遭窃取的文件总大小约为1.5TB。Money Message威胁称,要是微星不在一周内支付400万美元(约合人民币2750万元)的赎金,他们就将公开泄露所有窃取得手的文件。

“去跟你的经理说,我们有MSI源代码,包括开发bios的框架,我们还有私钥,可以登录这些bios的任何自定义模块,并将其安装在带有该bios的PC上。” Money Message的一位黑客对微星代理说道。

在这之后,微星在其官网上发布了一则声明,确认其最近有部分信息系统遭受了网络攻击。微星表示其信息部门发现网络异常后,及时启动了相关防御机制、采取恢复措施,并向政府执法机构和网络安全部门报告了这一事件。目前,受影响的系统已逐步恢复正常运行,对金融业务没有重大影响。另外,微星还特别敦促用户仅从其官方网站获取固件/ BIOS更新,并且不要使用官网以外来源的文件。


普普点评

通过这些事件,我们可以看到风靡全球的勒索病毒、各种手段的入侵、防不胜防的个人信息泄露等网络安全事件让网络安全面临层出不穷的新问题。维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。只有把网络安全意识上升并贯彻到全社会的层面中,才能尽可能的有效避免数据泄露。

NO.3
Windows 系统曝高危漏洞,数十万个系统面临风险

安全研究人员和专家警告称,Windows 消息队列 (MSMQ) 中间件服务中存在一个高危漏洞 CVE-2023-21554。利用该漏洞,攻击者能够在无用户交互的情况下实现远程代码执行,进而接管服务器资源。

Windows 消息队列 (MSMQ) 在所有Windows版本里都可用,主要用于为应用程序提供“消息传递保证”网络功能、启动 PowerShell 或控制面板。值得注意的是,该服务通常在安装企业应用程序时在后台启用,即使应用程序卸载后也会继续运行。例如,MSMQ 会在 Exchange Server 安装期间自动启用。

据 Check Point Research 称,超过 360,000 台运行 MSMQ 服务的 Internet 可用服务器可能容易受到攻击。目前已有10个不同的IP地址开始扫描互联网上开放的服务器。虽然微软已经修复了这个漏洞,但该公司还建议无法紧急应用更新的管理员禁用 Windows MSMQ 服务。无法禁用 MSMQ 或安装 Microsoft 修补程序的组织可以使用防火墙规则阻止来自不受信任来源的 1801/TCP 连接。


普普点评

操作系统的安全漏洞是一种常见的安全问题,对系统的稳定性和安全性造成威胁。鼎普安全专家建议用户可以根据自己的需求和实际情况对操作系统漏洞的防护进行选择和配置。同时,用户也应该保持警惕,避免点击来不明来源的链接和下载不明来源的软件。

NO.4
沃尔沃零售商客户信息遭泄露,涉及大量敏感文件

沃尔沃作为一家瑞典豪华汽车制造商,每年能够销售近70万辆汽车。沃尔沃的客群基本上是一些有一定经济实力的客户,这对于一些犯罪分子来说无疑是块极具吸引力的“肥肉”。据网络新闻研究小组调查发现,巴西的沃尔沃汽车零售商Dimas Volvo在近一年时间里都在持续通过其网站泄露敏感文件,这些信息可能会被一些不怀好意的人拿来用于劫持官方通信渠道或者直接入侵公司的系统。美国数字安全调查媒体的相关人员联系了Dimas Volvo和负责沃尔沃总部数据保护的相关官员,了解到目前这个信息泄漏的问题已经得到了妥善的解决。

在泄露的数据中,研究人员还发现储存网站源代码的Git库的URL,会直接透露出数据库的名称和创建者。这些攻击者仅需一个密码,再配合泄露的凭证信息就能强行访问数据库,这比同时去猜测出用户名以及密码之后才能访问数据库的方式要快得多。

攻击者可以利用有关网站结构的信息来确定开发者在开发过程中所采用到的技术,然后把整个过程简化一下,就可以直接达到直接入侵网站的目的。


普普点评

为了保障账户安全,鼎普安全专家建议在接收电子邮件时要格外小心谨慎,不要随便点击链接,时刻保持警惕。定期对数据安全政策和措施进行审计和评估,发现问题并及时纠正,确保数据安全策略和措施能够适应不断变化的威胁环境。建立严格的访问控制机制,对访问数据的人员进行身份验证和授权管理,确保数据仅能被授权的人员访问。

NO.5
微软 Azure 曝“设计缺陷”,暴露存储账户

The Hacker News 网站披露,研究人员发现微软 Azure 中存在一个”设计缺陷 ”,一旦攻击者成功利用,便可以访问存储帐户,甚至可在内部系统环境中横向移动,执行远程代码。

The Hacker News 在与 Orca 分享的一份新报告中表示,攻击者可以利用该缺陷,通过操纵 Azure 功能窃取更高特权身份的访问令牌、横向移动、秘密访问关键业务资产和执行远程代码(RCE),甚至有可能滥用和利用 Microsoft 存储帐户。

从微软的说法来看,Azure 在创建存储帐户时会生成两个 512 位的存储帐户访问密钥,这些密钥可用于通过共享密钥授权或通过使用共享密钥签名的 SAS令牌授权对数据的访问。更危险的是,这些访问密钥可以通过操纵 Azure 功能来窃取,这就给威胁攻击者留下了升级权限并接管系统的“后门”。因为在部署 Azure Function 应用程序时会创建一个专用存储帐户,如果使用管理员身份来调用 Function 应用程序,则可能会滥用该标识来执行任何命令。


普普点评

在微软发布的一份报告中,微软表示计划更新 Functions 客户端工具与存储帐户的工作方式,包括对使用身份更好地支持场景的更改。建议企业考虑禁用Azure共享密钥授权,改用 Azure 活动目录认证。

NO.6
诈骗集团5人被捕,涉案资金高达9800万美元!

近日,欧洲刑警组织(Europol)和欧洲司法组织(Eurojust)举行一次联合行动,逮捕了某大型网络投资诈骗集团五名诈骗分子,该集团至少勒索了 3.3 万名受害者,合计获得非法收入超 8900万欧元(约合 9800 万美元)。

从披露的案件资料来看,该诈骗分子集团通过网络和社交媒体发布广告引诱投资者,并承诺巨额利润诱骗受害者进行最高 250 欧元的小额初始投资。欧洲刑警组织表示,欺诈活动发生在 2019 年至 2021 期间,2021 年,诈骗分子开始扩大诈骗范围,分别在保加利亚和罗马尼亚设立了呼叫中心,冒充所谓的“个人财务顾问”联系受害者,并承诺如果投资便可以获得高额利润回报,事实上,一旦受害者打款,钱便立刻被转存至犯罪者的银行账户中。最后,警方披露诈骗分子在乌克兰、德国、西班牙、拉脱维亚、芬兰和阿尔巴尼亚等多个欧洲国家建立呼叫中心,通过冒充加密货币、股票、债券、期货和期权投资合法门户,并许以高额回报,诱骗潜在投资者进行投资。


普普点评

更多的人使用电子设备和网络进行生活和工作,网络安全意识的加强对于保障个人信息安全尤为重要。应注意选用防止恶意软件的有效软件,避免连接不知名公共网络,同时加强信息安全意识,时时关注自己的社交账号、银行账号等,避免被盗用导致财产损失等不良后果。

NO.7
注意!新的QBot银行木马通过电子邮件传播恶意软件

近日,卡巴斯基的最新发现显示,一个新的QBot恶意软件正在利用被劫持的商业电子邮件,分发恶意软件。QBot(又名Qakbot或Pinkslipbot)是一个银行木马,从2007年开始活跃。除了从网络浏览器中窃取密码和cookies,它还作为后门注入有效载荷,如Cobalt Strike或勒索软件。

该恶意软件通过网络钓鱼活动传播,并不断更新,通过加入反虚拟机、反调试和反沙盒技术以逃避检测。正因为这样,它也成为2023年3月最流行的恶意软件。早期,QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件,社交工程和垃圾邮件传递给潜在的受害者。电子邮件网络钓鱼攻击并不新鲜。其目的是诱使受害者打开恶意链接或恶意附件,一般情况下,这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件。

打开该文件后,就会从一个受感染的网站上检索到一个存档文件,该文件又包含了一个混淆的Windows脚本文件(.WSF)。该脚本包含一个PowerShell脚本,从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。


普普点评

在互联网技术不断发展的形势下,病毒传播方式可谓是五花八门,其中邮件传播就是最典型的一种。因此局域网内的用户,在收取邮件的过程中,应注重对邮件的过滤,对于陌生邮件应借助软件查杀病毒后,确定安全才可以打开。通常情况下,用户通过网页登陆的方式可以避免邮件病毒传播的可能。如果必须要使用客户端登陆,则一定要开启防火墙,做好相应的预防措施,防止网络因遭到病毒攻击而陷入瘫痪状态