当前位置: 首页 > 行业资讯 > 网络安全日报 2024年01月02日

网络安全日报 2024年01月02日

发表于:2024-01-02 08:49 作者: 蚁景网安实验室 阅读数(1883人)

1、微软禁用恶意软件攻击中滥用的MSIX协议处理程序

https://www.microsoft.com/en-us/security/blog/2023/12/28/financially-motivated-threat-actors-misusing-app-installer/

在多个出于经济动机的威胁团体滥用 MSIX ms-appinstaller 协议处理程序以恶意软件感染 Windows 用户后,微软再次禁用了 MSIX ms-appinstaller 协议处理程序。攻击者利用CVE-2021-43890 Windows AppX Installer 欺骗漏洞来规避安全措施,这些措施可以保护 Windows 用户免受恶意软件的侵害,例如 Defender SmartScreen 反网络钓鱼和反恶意软件组件以及警告用户不要执行可执行文件的内置浏览器警报文件下载。微软表示,威胁行为者使用流行软件的恶意广告和 Microsoft Teams 网络钓鱼消息来推送签名的恶意 MSIX 应用程序包。

2、松下航空电子公司披露2022年12月网络攻击后数据泄露事件

https://www.documentcloud.org/documents/24238563-panasonic-avionics-corporation-consumer-notice-letter

飞行通信和娱乐系统的领先供应商松下航空电子公司在一年多前(即 2022 年 12 月)公司网络遭到破坏后,披露了一次数据泄露事件,影响人数不详。攻击者破坏了其公司网络上的部分设备,并获得了从受影响的个人及其雇主收集的信息的访问权限。尽管一些个人和健康信息在事件中被曝光,但松下尚未找到证据表明自袭击以来这些信息被滥用。泄露期间受影响的信息包括受影响个人的姓名、联系方式(电子邮件地址、邮寄地址和电话号码)、出生日期、医疗和健康保险信息、财务帐号、公司就业状况和政府标识符,例如社会安全号码。

3、攻击者冒充招聘人员窃取区块链开发人员的加密货币

https://twitter.com/muratctp/status/1739224777955369420

一位区块链开发人员分享了他在假期期间的事件,当时一位“招聘人员”在 LinkedIn 上向他寻求一份网络开发工作。相关招聘人员要求开发人员从 GitHub 存储库下载 npm 包,几个小时后,开发人员发现他的 MetaMask 钱包已被清空。安塔利亚的区块链和网络开发人员Murat Çeliktepe本周分享了 LinkedIn 上一位“招聘人员”如何通过看似合法的 Upwork 招聘信息找到他。作为面试的一部分,招聘人员要求 Çeliktepe 下载并调试托管在 GitHub 存储库上的两个 npm 包(“web3_nextjs”和“web3_nextjs_backend”)中的代码。然而,不久之后,开发人员发现他的 MetaMask 钱包已被掏空——根据 BleepingComputer 看到的信息,他的账户中已有超过 500 美元被抽走。

4、Kroll发布2023年8月份数据泄露中影响的FTX客户信息

https://www.mass.gov/doc/assigned-data-breach-number-31103-kroll-restructuring-administration-llc-12-8-23/download

风险和财务咨询公司 Kroll 发布了有关 8 月份数据泄露的更多详细信息,该事件暴露了 FTX 破产申请人的个人信息。暴露的数据包括代币持有量和余额,这将使威胁行为者能够确定在加密货币市场进行大量投资的有吸引力的目标。该公司发布的信中提示到,这封信提供了重要信息,可以帮助保护您和您的数字资产免遭滥用您的个人数据,包括您的姓名、电子邮件地址、电话号码、地址、索赔编号、索赔金额、FTX 账户 ID 和/或代币持有量。

5、停车应用开发商EasyPark披露数据泄露可能影响数百万用户

https://www.easypark.com/en-de/comm

停车应用开发商 EasyPark 在其网站上发布了一份通知,警告其于 2023 年 12 月 10 日发现的数据泄露事件,该事件影响了其数百万用户中数量未知的情况。EasyPark 是一家瑞典公司,开发移动和网络应用程序,用作停车位定位器、预订管理器和电动汽车充电点查找器。该公司在20个国家和4000多个城市运营数字停车服务,覆盖欧洲大部分地区、美国、澳大利亚、新西兰和英国。ParkMobile 披露了 2021 年发生的大规模数据泄露事件 ,导致 2100 万客户的数据被盗。该数据库随后在黑客论坛上免费发布。

6、APT28组织使用新型恶意软件针对乌克兰发起网络攻击

https://cert.gov.ua/article/6276894

乌克兰计算机紧急响应小组 (CERT-UA) 警告称,与俄罗斯有关的 APT28 组织精心策划了一场新的网络钓鱼活动,该活动部署了 OCEANMAP、MASEPIE 和 STEELHOOK 等以前未记录的恶意软件,以获取敏感信息。该机构于 2023 年 12 月 15 日至 25 日期间发现了这一活动,该活动针对乌克兰政府实体和波兰组织,通过电子邮件敦促收件人点击链接查看文档。

7、信息窃取器利用新型Google OAuth2漏洞进行会话劫持

https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking

研究人员警告说,多个恶意软件即服务信息窃取程序现在能够操纵身份验证令牌,使用户能够持续访问受害者的 Google 帐户,即使在用户重置密码后也是如此。2023 年 10 月,开发人员发现了一个关键漏洞,该漏洞允许通过令牌操作生成持久性 Google cookie。即使在用户重置密码后,此漏洞也可以持续访问 Google 服务。一位客户(威胁行为者)后来对该脚本进行了逆向工程,并将其合并到 Lumma Infostealer 中,使用先进的黑盒技术保护该方法。这标志着连锁反应的开始,因为该漏洞利用在各个恶意软件组中迅速传播,以保持独特的功能。 研究人员确定了该漏洞的根源在于名为“MultiLogin”的未记录的 Google Oauth 端点。

8、阿尔巴尼亚的议会和电信公司遭受网络攻击

https://cesk.gov.al/deklarate-zyrtare-3/

阿尔巴尼亚国家电子认证和网络安全局 (AKCESK) 本周透露,阿尔巴尼亚共和国议会和电信公司 One Albania 已成为网络攻击的目标。AKCESK表示:“根据现行立法,这些基础设施目前并未被归类为关键或重要的信息基础设施。”拥有近150万用户的 One Albania 在12月25日的 Facebook 帖子中表示,该公司已经处理了此次安全事件,没有出现任何问题,其包括移动、固定电话和 IPTV 在内的服务并未受到影响。AKCESK 进一步指出,入侵并非源自阿尔巴尼亚 IP 地址,并补充说它设法“实时识别潜在案例”。

9、新型Black Basta解密器使用勒索软件漏洞以恢复文件

https://github.com/srlabs/black-basta-buster

研究人员创建了一种解密器,该解密器利用 Black Basta 勒索软件中的漏洞,使受害者可以免费恢复其文件。该解密器允许 Black Basta 受害者从 2022 年 11 月到本月免费恢复他们的文件。然而Black Basta 开发人员大约一周前修复了其加密例程中的错误,从而防止了这种解密技术被用于新的攻击。“Black Basta Buster”解密器来自安全研究实验室发现勒索软件团伙的加密器使用的加密算法存在一个弱点,该弱点允许发现用于异或加密文件的 ChaCha 密钥流。

10、攻击者在暗网中发起Leaksmas活动泄露大量PII和受损数据

https://www.resecurity.com/blog/article/cybercriminals-launched-leaksmas-event-in-the-dark-web-exposing-massive-volumes-of-leaked-pii-and-compromised-data

平安夜,研究人员观察到暗网上有多个行为者泄露了大量数据。超过 5000 万条包含世界各地消费者 PII 的记录已被泄露。此活动造成的实际损失可能高达数百万美元。由于个人数据和数字身份之间错综复杂的互连,减轻这种损害尤其具有挑战性。对于普通消费者来说,在实践中更改这些信息是一个复杂且通常困难的过程。尽管新年临近,全世界都在庆祝圣诞佳节,但网络犯罪社区并没有停止他们的活动。相反,攻击者以自己独特的方式庆祝假期。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。