一、威胁通告
- OpenSSL多个安全漏洞通告(CVE-2022-1292、CVE-2022-1343、CVE-2022-1473)
【发布时间】2022-05-17 18:00:00 GMT
【概述】
近日,绿盟科技CERT监测发现OpenSSL发布安全通告,修复了OpenSSL 产品中的多个安全漏洞。OpenSSL 是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。请相关用户采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
- 攻击者伪装成来自合法银行的电子邮件窃取登录凭据
【标签】不区分行业
【概述】
据报道称,网络钓鱼环诈骗了大约146名受害者,从网上银行账户中窃取了至少443,600欧元。受害者被欺骗通过分发伪装成来自合法银行的电子邮件,冒充安全警报交出他们的登录凭据。点击链接的毫无戒心的收件人并没有被带到真正的银行网站,而是被带到犯罪团伙控制下的相似网页。获得银行账户访问权限后,犯罪分子将更改受害者账户上的手机设置,以接收通过短信发送的任何验证码。
【参考链接】
https://ti.nsfocus.com/security-news/IlNwj
- 黑客组织对赞比亚央行发起勒索软件攻击
【标签】金融
【概述】
赞比亚银行是非洲中南部内陆国家赞比亚的中央银行。自2021年6月首次亮相以来,Hive勒索软件的攻击态势凶猛,已成为头部团伙之一。因在攻击中受到的损失很少,赞比亚银行拒绝向Hive勒索软件团伙支付赎金,这是近几年少有的针对勒索软件的强硬派;银行的部分信息技术应用中断服务,包括外汇管理局监控系统和网站,部分测试数据也可能被泄露。
【参考链接】
https://ti.nsfocus.com/security-news/IlNwl
- 黑客向WordPress网站注入恶意脚本
【标签】不区分行业
【概述】
研究人员调查发现WordPress网站使用虚假CAPTCHA表单来让访问者接受网络推送通知。这些网站是利用许多受感染的WordPress网站的新一波活动。伪造的CAPTCHA网站是长期活动的一部分,该活动负责将恶意脚本注入受感染的WordPress网站。威胁参与者在受影响网站的文件和数据库中注入了恶意JavaScript。然后,他们在成功时注入了混淆代码。此恶意JavaScript附加在当前脚本下或在每次页面加载时触发的页面标题下,将站点访问者重定向到威胁参与者选择的目的地。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvx
- 攻击者利用恶意软件释放器的新变种进行野外攻击
【标签】不区分行业
【概述】
研究人员发现了UpdateAgent macOS恶意软件释放器的新变种。新版本是用Swift编写的,并依赖AWS基础设施来托管其恶意负载。研究人员注意到,通过伪装成PDFCreator的UpdateAgent macOS恶意软件投放器的最新变体分发的广告软件/恶意软件激增。UpdateAgent恶意软件的作者始终保持警惕,以使其保持最新状态。它以拥有完善的后端而闻名,它可以轻松更新,虽然我们只看到它丢弃了广告软件系列,但安全专家担心未来可能会有其他恶意计划与良好的建设基础设施。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvX
- 黑客利用恶意软件对苹果iPhone低功耗模式发起攻击
【标签】不区分行业
【概述】
安全研究人员发现,Apple iPhone中的低功耗模式功能可作为黑客的接入点,以诱导可能成为设备用户主要网络威胁的恶意软件。对于那些不熟悉LPM的人来说,这里有一个要点。Apple iPhone有一项称为低功耗模式的功能,即使用户关闭手机,某些应用程序也能保持运行。这意味着,即使手机关闭,某些应用程序也会在后台运行,例如Fine my Device服务、支付应用程序、旅行卡、数字车钥匙等。尽管LPM是一个重要的功能,证明很方便,但它也可能由随时可能致命的安全风险引入。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvL
- 攻击者利用窃取信息的恶意软件窃取加密货币
【标签】金融
【概述】
攻击者正在加倍使用窃取信息的恶意软件来攻击存储在连接互联网的热钱包中的加密货币。研究人员报告称,事实上,在2021年,他们偷走了价值约32亿美元的加密货币,与2020年相比增加了516% 。从概念上讲,以数字方式存储与加密货币有关的详细信息的文件对攻击者来说是一种明显的做法。热钱包是连接互联网的软件——有时是独立的应用程序,或者在某些情况下,称为网络钱包的浏览器扩展——存储访问存储在其中的任何加密货币所需的加密细节。通过窃取这些数据,攻击者可以立即将资金转移到他们控制的钱包中。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvY
- 攻击者利用虚假的Pixelmon NFT网站窃取加密货币钱包
【标签】不区分行业
【概述】
据悉,一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝,并用窃取加密货币钱包的恶意软件对其进行感染。Pixelmon是一个热门的NFT项目,它的目标包括创建一个元宇宙游戏,用户可以在其中使用Pixelmon宠物进行收集、训练以及与其他玩家战斗。该项目在Twitter上有近20万名粉丝和超过2.5万名Discord成员,引起了广泛的关注。为了利用这种兴趣,威胁参与者复制了合法的pixelmon.club网站,并在pixelmon[.]pw上创建了一个虚假版本来分发恶意软件。该恶意站点几乎是合法站点的复制品,它提供在设备上安装密码窃取恶意软件的可执行文件,而不是该项目的游戏演示。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvO
- 攻击者利用Facestealer间谍软件窃取敏感数据
【标签】不区分行业
【概述】
研究人员在Play Store上发现了200多个Android应用程序,这些应用程序分发名为 Facestealer的间谍软件,用于从受感染的设备中窃取敏感数据。恶意应用程序能够窃取凭据、Facebook cookie和其他个人身份信息。专家发现的一些恶意应用程序已安装超过十万次。Facestealer 应用程序伪装成简单的工具——例如虚拟专用网络 (VPN)、相机、照片编辑和健身应用程序——使它们对使用这些类型应用程序的人具有吸引力。对于虚假的加密货币矿工应用程序,他们的运营商不仅试图通过欺骗受害者购买虚假的基于云的加密货币挖掘服务来从受害者那里获利,而且他们还试图从用户那里获取私钥和其他与加密货币相关的敏感信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvK
- 黑客利用恶意电子邮件传播NerbianRAT木马
【标签】不区分行业
【概述】
研究人员注意到一个名为NerbianRAT的RAT(远程访问木马)正在通过电子邮件分发。它的名称来自恶意软件代码函数的名称。传播此恶意软件的恶意电子邮件冒充世界卫生组织 (WHO),假设向目标发送COVID-19信息。这些电子邮件包含RAR附件,其中包含RAR档案中的Word文档中的恶意宏代码。当受害者打开Word并启用内容时,会通过Powershell下载64位droppe。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvN
- Sysrv僵尸网络新变种攻击Windows及Linux服务器
【标签】不区分行业
【概述】
研究人员表示,Sysrv僵尸网络的新变种——Sysrv-K,正在利用Spring Framework和 WordPress中的漏洞,在易受攻击的 Windows 和 Linux 服务器上和部署加密恶意软件。作为新变种,Sysrv-K,具有更加强大的功能,能够扫描互联网以查找具有各种漏洞的Web 服务器并自动进行安装,比如,它会扫描WordPress配置文件及其备份以检索数据库凭证,从而获得对Web服务器的控制权。与旧版本一样,Sysrv-K扫描SSH密钥、IP地址和主机名,然后尝试通过SSH连接到网络中的其他系统以部署自身的副本,这可能会导致网络的其他部分面临成为Sysrv-K僵尸网络一部分的风险。
【参考链接】
https://ti.nsfocus.com/security-news/IlNvw
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。