近期网络威胁情报显示,名为"Tycoon 2FA"的新型钓鱼工具正被黑客用于针对Microsoft 365和Gmail账户,并绕过双因素身份验证(2FA)保护。目前,Tycoon 2FA服务利用了1100个域名,在成千上万的钓鱼攻击中被观察到。该工具涉及一个多步骤过程,其中威胁行为者通过托管钓鱼网页的反向代理服务器盗取会话cookie,拦截受害者输入并转发至合法服务。一旦用户完成MFA挑战,且认证成功,服务器就会捕获会话cookie,使攻击者能够重放用户会话,从而绕开多因素认证机制。研究人员的报告描述了攻击过程中的七个阶段,从分发含恶意链接的电子邮件,到最终让受害者访问看似合法的页面,隐藏了钓鱼攻击的成功。报道还提及,Tycoon 2FA钓鱼工具最新版本引入的改进增强了钓鱼和逃避能力,例如在Cloudflare Turnstile挑战解决后延迟加载恶意资源,使用伪随机名称的URL来隐藏行为等等。在运营规模方面,并且有证据显示广泛的网络罪犯用户基础正在使用Tycoon 2FA进行钓鱼操作。与运营商关联的比特币钱包自2019年10月以来记录了超过1800笔交易,自2023年8月该工具发布后交易明显增多。超过530笔交易超过了120美元,这是10天钓鱼链接的入门价格。到2024年3月中旬,威胁行为者的钱包已收到价值394015美元的加密货币。
https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure/
研究人员披露,超过17万用户受到了一次针对Discord机器人开发者社区Top.gg用户群体的供应链攻击。该攻击主要通过伪装的Python PyPI软件包传播带有恶意软件的代码,这些恶意软件能够从受害者的浏览器、Discord应用、加密钱包以及包含特定关键字的文件中窃取数据。攻击者利用了多种供应链攻击技术,其中包括复制流行的Python软件包(如Colorama)、使用与Python官方站点极为相似的钓鱼域名,以及代码混淆,并成功破坏了多名GitHub社区信任成员的账户。恶意软件能够在系统重启后依然生效。攻击者还通过篡改GitHub中的代码库,将合法的PyPI库地址替换为钓鱼网站域名,进而在开发者不知情的情况下传播恶意软件包。此次攻击始于2022年11月,但直到2023年2月注册了钓鱼域名后才大规模展开。目前尚不清楚具体有多少用户受到影响,但鉴于此恶意软件已经进入了一个拥有17万用户的Discord服务器的GitHub仓库,受害者数量可能至少达到数千甚至数万人。
据研究人员的报告,一个名为GEOBOX的新黑暗网工具通过劫持树莓派设备,让黑客们能够伪造地理位置并逃避检测。GEOBOX被设计来攻击树莓派4 B型号设备,使犯罪分子实现匿名化和欺诈。这一发现源自对一起在线银行盗窃案件的调查,涉及某财富100强金融公司的高净值客户。GEOBOX让犯罪分子可以操纵GPS数据,模拟网络,模仿Wi-Fi,并绕过反欺诈过滤器,其不仅能帮助进行地理位置伪造,还支持VPN协议,甚至可以在一个VPN隧道内再创建一个VPN隧道。研究还披露,GEOBOX设备默认不会存储日志,这极大地复杂化了调查与追踪过程。
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
据一份新闻报道,美国网络安全和基础设施安全局(CISA)更新了其已知被利用的漏洞(KEV)目录,新添加了三个正被积极利用的安全漏洞。这些漏洞包括Fortinet的FortiClient EMS SQL注入漏洞(CVE-2023-48788, CVSS评分9.3)、Ivanti的Endpoint Manager Cloud Service Appliance代码注入漏洞(CVE-2021-44529, CVSS评分9.8)以及Nice的Linear eMerge E3系列的OS命令注入漏洞(CVE-2019-7256, CVSS评分10.0)。Fortinet已确认其产品漏洞被野外利用,并且Ivanti的漏洞可能由于存在一个名为csrf-magic的开源项目的蓄意后门导致。Nice的漏洞则在2020年2月就已被黑客利用过。针对这些漏洞的主动利用,联邦机构须在2024年4月15日前应用厂商提供的缓解措施。与此同时,CISA和联邦调查局(FBI)也发布了联合警告,敦促软件制造商采取措施缓解SQL注入漏洞,突出了Cl0p勒索软件团伙利用Progress Software的MOVEit Transfer中的严重SQL注入漏洞(CVE-2023-34362)对数千组织构成威胁。
https://comsec.ethz.ch/wp-content/files/zenhammer_sec24.pdf
研究人员开发了首个针对AMD Zen微架构CPU的Rowhammer变体攻击——ZenHammer,该攻击漏洞针对DDR4和DDR5内存芯片上的物理地址映射。尽管AMD Zen芯片和DDR5内存模块之前被认为对Rowhammer较不敏感,但最新研究发现挑战了这一观点。ZenHammer利用内存单元物理特性,通过重复访问("锤击")特定内存单元行来改变比特值,称为"比特翻转"。通过在特定位置诱发比特翻转,攻击者可能获取敏感数据或提升权限。研究人员通过逆向工程解决了AMD平台的DRAM地址映射复杂性,并开发了新颖的同步技术以绕过如目标行刷新(TRR)之类的保护措施。测试结果显示,ZenHammer攻击能在AMD Zen 2(例如Ryzen 5 3600X)和Zen 3(例如Ryzen 5 5600G)平台的DDR4设备上诱发比特翻转,且在DDR5芯片/AMD Zen 4平台上也验证了攻击的成功。然而攻击成功率相对较低,如Ryzen 7 7700X系统中只有1次成功于10次测试,表明DDR5的变化使得触发比特翻转更加困难。研究人员进一步展示了ZenHammer攻击的可行性,以及这些比特翻转是实际可用于攻击系统安全的。AMD CPU用户需通过应用软件补丁和固件更新来抵御此类攻击,并可能需要考虑使用已实施特定Rowhammer防护措施的硬件。这类攻击相对复杂,要求攻击者对软硬件组件都有深入了解。
滑板品牌Vans于2024年3月通知客户遭受了一次“数据事故”,导致个人信息可能泄露。2023年12月13日,Vans检测到其IT系统存在未经授权的活动,调查显示这一事故涉及客户的个人信息,包括邮箱地址、全名、电话号码、账单地址和邮寄地址。在某些情况下,受影响的数据可能还包括订单历史、总订单价值和购买所使用的支付方式信息,尽管未包含具体的账号细节。此次数据事故实质上是一起勒索软件攻击,攻击者为ALPHV/BlackCat勒索软件组。V.F. Corporation作为Vans的母公司向证券交易委员会(SEC)提交的文件中提到,攻击者扰乱了业务运营并窃取了大约3550万消费者的个人信息。目前尚不清楚V.F. Corporation是否能够使用执法机构控制ALPHV基础设施后公布的解密工具。Vans表示目前没有证据显示任何个人消费者由于数据泄漏而遭受实际影响,但警告可能会有针对性的网络钓鱼和欺诈尝试,这可能导致身份盗窃。
https://www.theregister.com/2024/03/22/boffins_tucktotruck_worm/
科罗拉多州立大学研究人员发现,美国商用卡车使用的 Electronic Logging Devices(ELDs)存在安全漏洞,可被用于控制卡车,甚至在卡车之间传播蠕虫。
https://cybersecuritynews.com/air-europa-compromise-of-customer-data
西班牙著名航空公司欧罗巴航空公司(Air Europa)宣布,在去年10月发现安全事件后,其客户数据可能会遭到泄露。
https://www.securityweek.com/apple-patches-code-execution-vulnerability-in-ios-macos/
Apple 发布了针对 iOS 和 macOS 设备的新安全更新,以解决任意代码执行漏洞。该问题被追踪为 CVE-2024-1580,被描述为导致越界写入的整数溢出,影响 iOS 和 macOS 的 CoreMedia 和 WebRTC 组件,并可能在图像处理过程中触发。
https://securityaffairs.com/161091/malware/themoon-malware-targets-soho.html
Lumen Technologies 的 Black Lotus 实验室团队发现了“ TheMoon ”机器人的更新版本,该机器人针对报废 (EoL) 小型家庭/小型办公室 (SOHO) 路由器和物联网设备。该僵尸程序的新版本已被发现感染了 88 个国家/地区的数千台过时设备。TheMoon僵尸网络的活动 于 2014 年首次被发现,自 2017 年以来,其运营商在该僵尸网络的代码中添加了至少 6 个物联网设备漏洞。该僵尸网络针对多家供应商的宽带调制解调器或路由器,包括 Linksys、ASUS、 MikroTik、D-Link 和 GPON 路由器。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
