当前位置: 首页 > 行业资讯 > 网络安全日报 2023年10月25日

网络安全日报 2023年10月25日

发表于:2023-10-25 08:12 作者: 蚁景网安实验室 阅读数(2014人)

1、1Password在Okta支持系统遭黑客攻击后发现异常行为

https://blog.1password.com/files/okta-incident/okta-incident-report.pdf

1Password是一款流行的密码管理解决方案,它在9月29日Okta支持系统被入侵后检测到其Okta实例上的可疑活动,但重申没有用户数据被访问。1Password首席技术官在周一的通知中说:“我们立即终止了这些活动,进行了调查,并发现没有用户数据或其他敏感系统被泄露,无论是面向员工的还是面向用户的。”据报道,这次入侵是利用一个被盗的凭证来实现的,该凭证是在IT团队的一名成员与Okta支持共享了一个HAR文件后获得的,威胁行为者执行了以下一系列操作:尝试访问IT团队成员的用户仪表板,但被Okta阻止,更新了一个与生产Google环境相关联的现有IDP并激活了IDP,请求了一份管理员用户的报告。该公司表示,在IT团队成员收到关于“请求”的管理员用户报告的电子邮件后,它被警告了恶意活动。1Password进一步表示,它已经采取了一些措施来加强安全性,包括拒绝来自非Okta IDP的登录,缩短管理员用户的会话时间,更严格的多因素身份验证(MFA)规则,以及减少超级管理员的数量。

2、密歇根大学遭黑客窃取员工和学生数据

https://publicaffairs.vpcomm.umich.edu/key-issues/august-2023-data-incident/

2023年8月,密歇根大学的网络系统遭到了黑客的入侵,导致包括学生、申请者、校友、捐赠者、员工、病人和研究参与者在内的多个群体的个人、财务和医疗信息被泄露。黑客对服务器的非法访问持续了从8月23日到27日的四天时间,大学方面在一周后发现并披露了这一事件,并强制所有账户重置密码。大学还关闭了所有系统和在线服务,以防止进一步的损失。目前,大学正在与联邦调查局(FBI)合作,调查此次网络攻击的来源和影响,并为可能受到影响的个人提供免费的信用监控服务。该教育机构是美国历史最悠久、规模最大的教育机构之一,拥有超过30000名学术和行政人员以及约51000名学生。

3、华盛顿选举委员会疑似泄露选民个人信息

https://www.bleepingcomputer.com/news/security/dc-board-of-elections-hackers-may-have-breached-entire-voter-roll/

10月5日,华盛顿特区选举委员会(DCBOE)发现其网站服务器遭到了一名自称RansomVC的黑客的攻击,该黑客声称窃取了60万条美国选民数据,其中包括特区选民记录。DCBOE随即启动了紧急应急计划,并与联邦调查局(FBI)和国土安全部(DHS)合作展开调查。10月22日,DCBOE在推特上发布了最新的消息,称其网站服务器的托管商DataNet Systems公司无法确定黑客是否访问了特区全体选民的个人信息,也无法确定访问了多少条记录。DCBOE表示,目前没有证据表明选民数据被用于非法用途,但仍建议特区选民保持警惕,并及时报告任何可疑活动。DCBOE还承诺将继续与相关机构合作,加强网络安全防护,并保护选民的隐私权利。

4、Quasar RAT利用DLL侧载技术攻击Windows系统

https://www.uptycs.com/blog/quasar-rat

Quasar RAT是一种开源的远程管理工具(RAT),也被称为CinaRAT或Yggdrasil,是用C#编写的。这种工具可以执行各种恶意功能,如收集系统数据,运行应用程序,传输文件,记录键盘输入,截取屏幕或摄像头画面,恢复系统密码,以及监控文件管理器,启动管理器,远程桌面等操作。Quasar RAT利用了一种称为DLL侧载的技术,它涉及利用受信任的Microsoft文件,包括“ctfmon.exe”和“calc.exe”,来实现其目标。这种技术利用了这些文件在Windows环境中的固有信任。Quasar RAT的侧载执行过程如下:威胁行为者开始使用DLL侧载技术。他们选择了两个不同的Microsoft文件来进行攻击:“ctfmon.exe”和“calc.exe”。在初始阶段,攻击者利用真正的“ctfmon.exe”文件来加载一个恶意的DLL,这个DLL的名字被伪装了,不容易引起注意。执行“ctfmon.exe”二进制文件后,攻击者获得了一个“第一阶段”的有效载荷。这个初始有效载荷是至关重要的,它作为后续恶意行为的入口。“第一阶段”的有效载荷起到了双重作用。它负责将合法的“calc.exe”文件和恶意的DLL释放到系统中。攻击者使用“calc.exe”文件,它在这里不仅仅是一个简单的计算器应用程序。当执行它时,它会触发恶意的DLL,导致“Quasar RAT”的有效载荷渗透到计算机的内存中。在计算机内存中,有效载荷使用“进程空心化”技术将自己嵌入到一个合法的系统进程中,进一步隐藏其恶意意图,并使检测变得复杂。

5、卡巴斯基揭秘“三角测量行动”iOS 零点击攻击中使用的隐秘技术

https://securelist.com/triangulation-validators-modules/110847/

周一,卡巴斯基发布了一份新报告,详细介绍了三角测量行动背后的威胁行为者所采用的各种隐形技术,以及攻击中使用的一些组件。

6、针对 VMWARE ARIA OPERATIONS FOR LOGS 漏洞的POC已发布

https://securityaffairs.com/152977/hacking/vmware-aria-operations-for-logs-flaw-poc.html

VMware 警告客户,VMware Aria Operations for Logs(以前称为 vRealize Log Insight)中存在身份验证绕过漏洞的概念验证 (PoC) 漏洞利用代码已发布,请立即修补。该漏洞的编号为 CVE-2023-34051 。

7、印度居民的数亿条 PII 记录(包括 Aadhaar 卡)正在暗网上出售

https://securityaffairs.com/152957/security/pii-indian-citizens-dark-web.html

10 月初,Resecurity 的 HUNTER (HUMINT) 部门发现了数亿条属于印度居民的个人身份信息 (PII) 记录,其中包括在暗网上出售的 Aadhaar 卡。据 UIDAI 网站称, Aadhaar是一个独特的 12 位个人识别码,“由印度唯一身份识别机构代表印度政府颁发” 。

8、以色列正在新兴的“深度伪造”网络战线上与哈马斯作战

https://www.secrss.com/articles/59848

随着以色列与哈马斯冲突加剧,网络空间将再次成为实时决策和舆论的关键战场,深度造假技术也带来了新的威胁。自以色列和哈马斯冲突爆发以来,由人工智能生成的关于冲突的虚假视频充斥着世界各地的媒体。

9、巴基斯坦和阿富汗被 DoNot Team 黑客组织“盯上了”

https://www.freebuf.com/news/381613.html

网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露,一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门,针对巴基斯坦和阿富汗发起了网络攻击。

10、乌克兰国家安全部门参与对俄罗斯最大私人银行的黑客攻击

https://therecord.media/sbu-involved-in-alfa-bank-hack

乌克兰黑客与该国安全部门 SBU 合作,入侵了俄罗斯最大的私人银行,该部门的一位消息人士向 Recorded Future News 证实。据报道,上周,两个亲乌克兰黑客组织 KibOrg 和 NLB 侵入了 Alfa-Bank,并声称获得了超过 3000 万客户的数据,包括他们的姓名、出生日期、账号和电话号码。他们的官方网站上有一个帖子。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。