当前位置: 首页 > 行业资讯 > 网络安全日报 2024年11月25日

网络安全日报 2024年11月25日

发表于:2024-11-25 08:48 作者: 合天网安实验室 阅读数(2498人)

1、新的Ghost Tap攻击利用NFC移动支付窃取资金

https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay

威胁情报机构ThreatFabric近期发现,犯罪分子正利用NFC流量汇聚技术实施新型信用卡套现方案。该方案被称为“幽灵轻击”(Ghost Tap),核心是通过工具NFCGate实现远程支付操作,将被盗信用卡与移动支付账户(如Google Pay或Apple Pay)绑定后,使用中继服务器将NFC支付请求从攻击者设备转移至骡子设备。骡子通过POS终端完成交易,而攻击者则远程操控,从而实现匿名资金套现。这种方法不仅可以绕过传统交易监控系统,还能在短时间内在多个地点完成大规模欺诈行为。由于NFCGate等工具公开可得,实施此类攻击的技术门槛较低,风险覆盖范围广泛。专家建议金融机构加强OTP验证和NFC流量监控,同时提高用户安全意识以减少潜在威胁。

2、亚马逊及其子公司Audible涌入大量虚假信息

https://www.bleepingcomputer.com/news/security/amazon-and-audible-flooded-with-forex-trading-and-warez-listings/

亚马逊及其子公司Audible近期遭遇大量垃圾内容涌入,这些虚假信息链扩散可疑的外汇交易计划、Telegram频道,以及声称提供盗版软件的链接。垃圾信息出现在Amazon.com、Amazon Music、Audible等平台上,以伪装的播客或列表形式诱导用户访问外部可疑网站。BleepingComputer报告显示,这些内容包含零秒长度的“播客集”或作弊性描述,用于搜索引擎优化(SEO)作弊,即通过大量无关内容提高可疑域名的排名。类似的手法也出现在Spotify等平台,利用开放式数字分发平台传播恶意链接,显着增加了用户中招的风险。亚马逊虽然已删除部分被举报的垃圾内容,但尚未对问题作出回应。专家呼吁数字平台加强内容审核机制,以防止此类垃圾内容泛滥,并保护用户潜在威胁。

3、MITRE发布2024年最危险的25个软件漏洞

https://cwe.mitre.org/top25/

MITRE近日公布2024年“最危险软件漏洞Top 25”,揭示了过去一年间超过31000个漏洞背后的主要软件漏洞。这些漏洞涵盖软件代码、架构、实现或设计中的缺陷,攻击者可利用它们控制受影响设备、访问敏感数据或发动拒绝服务(DoS)攻击。榜单的生成基于对2023年至2024年间31770条CVE记录的分析,重点关注纳入CISA“已知被利用漏洞”(KEV)目录的安全问题。MITRE指出,这些弱点通常易于发现和利用,可能导致系统全面失控、数据被窃取或应用程序瘫痪。CISA强调,企业应参考此榜单优化软件安全策略,将这些弱点作为开发和采购环节的优先防护目标,从根源上减少漏洞产生。MITRE认为,揭示漏洞根源能为产业界和政府制定有效防御投资和政策提供指南,有助于从软件生命周期核心预防安全风险,提升整体系统安全性。

4、金融科技巨头Finastra调查SFTP系统遭攻击后的数据泄露事件

https://www.bleepingcomputer.com/news/security/fintech-giant-finastra-investigates-data-breach-after-sftp-hack/

全球金融科技巨头Finastra确认,其安全文件传输平台(SFTP)系统遭到黑客攻击后,客户数据可能被泄露。该公司在11月7日发现威胁行为者使用被盗凭证访问SFTP系统,目前正在与第三方网络安全专家合作展开调查。初步评估显示,攻击范围仅限于SFTP平台,未发生横向移动。黑客在地下论坛声称掌握了Finastra的400GB数据并试图出售,但相关帖子已被删除,数据是否已售出尚未明确。Finastra表示,受影响的SFTP平台并非所有客户的默认文件交换工具,具体影响范围仍在确定中,将直接联系受影响的用户。Finastra是服务于全球130多个国家的金融软件公司,客户包括45家全球顶级银行,年收入达17亿美元。值得注意的是,该公司在2020年曾遭遇勒索软件攻击。本次事件再次凸显金融科技领域对数据安全的高度敏感性以及持续性威胁的严峻性。

5、微软打击ONNX网络钓鱼服务并公开其运营者身份

https://www.securityweek.com/microsoft-disrupts-onnx-phishing-service-names-its-operator/

微软宣布成功打击了ONNX网络钓鱼服务,通过法律诉讼查封了240个关联域名,并曝光了该服务的主要运营者——埃及男子Abanoub Nady(网名MRxC0DER)。微软表示,Nady长期从事网络钓鱼工具包的开发和销售,包括ONNX、Caffeine和FUHRER等,通过“网络钓鱼即服务”模式为犯罪分子提供工具,以窃取用户凭证并发起大规模攻击。ONNX的工具包支持中间人攻击(AitM),能够绕过多因素认证,加剧了威胁。微软联合Linux基金会采取法律行动,切断了这些恶意基础设施,并警告其他潜在的犯罪行为者。微软强调,此次行动虽然削弱了ONNX的运营,但类似威胁仍可能重现,呼吁各方加强防范。此次打击不仅展示了技术和法律结合的有效性,也为未来类似威胁提供了有力震慑。

6、社交平台BlueSky出现一系列加密货币骗局

https://www.bleepingcomputer.com/news/security/now-bluesky-hit-with-crypto-scams-as-it-crosses-20-million-users/

随着去中心化社交平台BlueSky用户数量突破2000万,网络犯罪分子也开始将目标转向该平台。据报道,近期BlueSky上出现了一系列加密货币骗局,包括伪造与科技巨头Meta相关的“MetaChain”和“MetaCoin”虚假资产宣传,以及冒充获奖公告诱导用户访问恶意网站。部分诈骗信息采用AI生成的图片和精心仿制的Meta品牌设计,误导用户相信其合法性。此外,还有帖子利用知名节目片段和热门标签(如#tesla和#blockchain)吸引点击,推广虚假加密货币交易平台。这些行为表明,BlueSky正在经历与其他社交媒体平台类似的安全挑战,例如X/Twitter长期遭遇的高频加密诈骗。用户社区已对此表达担忧,并呼吁采取行动防范骗局扩散。BlueSky的快速增长吸引了更多用户,同时也成为诈骗者的新目标,提醒平台需要加强审核机制,保护用户安全。

7、研究人员发现Fortinet VPN日志机制存在盲点

https://pentera.io/blog/FortiClient-VPN_logging-blind-spot-revealed/

研究人员在分析Fortinet VPN客户端时,发现一种自动验证凭据的方法,并揭示了FortiClient VPN的日志机制存在的潜在盲点。尽管Fortinet并未将其认定为漏洞,但这一问题可能为攻击者提供机会,威胁企业网络的安全。研究表明,通过简单的HTTPS请求即可触发服务器的身份验证尝试,服务器会返回凭据状态,包括有效、失败或因尝试过多而被限制的错误。这种反馈机制为研究人员理解认证流程提供了关键信息,同时也为攻击者可能利用这一机制规避传统安全监控敞开大门。研究团队已将这一发现告知Fortinet,并向安全社区发布了详细信息及测试脚本,以提高对该风险的认识。研究人员建议企业对VPN客户端日志的完整性与可见性保持警惕,采用更严格的安全控制措施,防范潜在威胁。

8、攻击者利用Palo Alto防火墙漏洞发起攻击活动

https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/#post-137539-_50343o6a6han

Palo Alto Networks及其威胁情报团队Unit 42持续追踪针对CVE-2024-0012和CVE-2024-9474漏洞的攻击活动。这些漏洞允许未经认证的攻击者通过管理接口获得PAN-OS管理员权限,进一步执行恶意操作或利用权限提升漏洞进行攻击。Unit 42将此次漏洞利用活动命名为“Lunar Peek行动”。自2024年11月19日第三方研究人员公开技术细节以来,相关威胁行为显著增加,涉及手动和自动化扫描、Web Shell部署以及加密货币挖矿等活动。部分受害设备还被观察到植入了开源C2工具。Palo Alto Networks建议用户尽快应用修补程序,并通过限制管理接口的访问至可信内网IP地址来减少风险。此外,Unit 42发布了详细的攻击指标(IOC)和上下文信息,用户可在官方GitHub页面查阅以加强防护。此次行动凸显了及时修复和严格访问控制的重要性,Palo Alto Networks承诺继续协助客户应对此次威胁并追踪最新动态。

9、CISA警告BianLian勒索软件转型为数据窃取团伙

https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/

美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)和澳大利亚网络安全中心(ACSC)发布的最新联合公告显示,BianLian勒索软件组织已完全转型为以数据窃取为核心的勒索团伙。这一变化标志着该组织自2024年1月起彻底放弃加密文件的勒索模式。BianLian早期采用“双重勒索”模式,即在窃取数据后加密受害者系统以索取赎金。然而,自2023年初起,该组织逐步放弃文件加密策略,转而专注于通过窃取并威胁公开数据来施压。特别是在2023年1月,安全公司Avast发布其解密工具后,这一转型显著加速。公告还指出,BianLian通过使用外语名称试图掩盖其来源,但情报显示其主要运营者和多个附属团伙位于俄罗斯。自2022年以来,该团伙的活动频繁,今年在其暗网勒索门户中已列出154名受害者。虽然受害者主要为中小型企业,但其近期攻击目标包括加拿大航空、北方矿业和波士顿儿童健康医生组织等知名机构。

10、攻击者滥用Avast的Anti-Rootkit驱动程序绕过安全防护

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/

最新的恶意攻击活动利用了Avast的旧版Anti-Rootkit驱动程序的漏洞,通过禁用目标系统的安全组件来规避检测并获得控制权限。此恶意软件变种名为“AV Killer”,它携带了一个硬编码的安全进程列表,其中包含了142个不同厂商的安全软件进程名。根据Trellix的安全研究人员发现,这一攻击采用了“自带漏洞驱动程序”(BYOVD)策略,利用Avast的Anti-Rootkit驱动程序的漏洞停止目标系统上的安全软件。攻击的过程包括恶意软件通过文件名为“kill-floor.exe”的程序,将名为“ntfs.bin”的驱动程序复制到Windows默认用户文件夹中。接着,恶意软件使用Windows的服务控制工具(sc.exe)创建一个名为“aswArPot.sys”的服务并注册该驱动。随后,恶意软件会与硬编码的142个安全工具进程名进行比对,并利用“DeviceIoControl”API发出必要的IOCTL命令来终止这些进程。当检测到与目标进程匹配时,恶意软件便通过引用安装的Avast驱动程序来终止相关安全软件的执行。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。