2月10日,星期五,您好!中科汇能与您分享信息安全快讯:
01
印度拟在境内设立“数据大使馆”,为数据提供“外交豁免权”
印度财政部长尼尔马拉·西塔拉曼表示,政府将推动在古吉拉特邦国际金融科技城 (GIFT IFSC)建立“数据大使馆”。在古吉拉特邦国际金融科技城(GIFT IFSC)设立的“数据大使馆”将享有与实体大使馆类似的外交豁免权。印度政府还希望通过“数据大使馆”一起解决数据存储和跨境数据流动的问题。
据报道,印度政府可能很快就会公布一项政策,允许各国和国际公司在印度境内设立“数据大使馆”,为国家和商业数字数据(digital data)提供“外交豁免权”,使其免受当地法规的约束。
02
英国金属工程公司 Vesuvius 遭受网络攻击
总部位于英国的熔融金属流动工程公司维苏威火山发出警报,称其目前正在管理一起网络事件,该事件涉及未经授权访问他们的系统。
这家在伦敦证券交易所上市的陶瓷制造商没有提供有关事件的性质和范围、受影响的系统或攻击者身份的任何信息。
“在意识到我们网络上未经授权的活动后,我们立即采取了必要的措施来调查和应对事件,包括关闭受影响的系统。我们正在与领先的网络安全专家合作,以支持我们的调查并确定问题的严重程度,包括对生产和合同履行的影响,“该公司在一份声明中表示。
03
“金钱情人”金融应用程序公开用户数据
一款名为“Money Lover”的金融应用程序被发现泄露了用户交易及其相关元数据,包括钱包名称和电子邮件地址。
Money Lover由越南的Finsify开发,是一种管理个人财务的工具 - 预算,跟踪费用等。
研究人员使用其Web界面通过代理服务器路由其流量,在那里他发现了一个问题:从浏览器开发人员工具窗口的Web套接字选项卡中,他可以看到与每个应用程序的共享钱包(由两个或多个用户管理的钱包)相关的电子邮件地址,钱包名称和实时交易数据。
这是一个典型的访问控制中断案例,他(其他授权用户)能够查看本应保留在其权限之外的数据。
04
针对 1 亿 Pix 支付平台账户的新型银行木马
一个名为PixPirate的新Android银行木马瞄准了超过100亿个巴西Pix即时支付账户。
Pix支付平台由巴西中央银行创建和运营,用于使用各种银行在拉丁美洲进行即时移动支付。
报告称,该恶意软件可以拦截和删除短信,推动恶意广告工作,并包含试图逃避检测的代码保护。
通过滥用辅助功能服务,PixPirate还可以灵活地窃取凭据并使用Pix平台在多个银行用户界面上发起ATS攻击。
05
两男子受高薪诱惑想去缅甸挣大钱,是“捞金”还是空想?
近日,一则#两男子受高薪诱惑想去缅甸挣大钱# 的新闻冲上热搜,一看到“高薪”“缅甸”就知道境外高薪招工的骗局卷土重来了。
据悉,陈某宇在广州某网吧认识了岑某,岑某热情地介绍其到缅甸工作,称工作任务主要是打字、聊天,每月底薪8000元,另加开单提成。正为工作发愁的陈某宇欣然答应,准备与其同行的还有陈某军,俩人准备跟随乘车到缅甸挣大钱,被铁路警方及时拦截。
一些人被“亲戚、老乡、同学”等熟人诱骗,或轻信骗子在网上散布的虚假招工信息,妄想到缅北“高薪”“赚大钱”,而实际上,免费包机、专人接送,许诺的“高薪工作”都是虚晃一枪,真正的缅北生活,是强迫从事电话诈骗、网络赌博等业务,每月还有任务,如果任务完不成,便会遭到拘禁、毒打甚至是付出生命。
06
新的 Buggy Clop 勒索软件变体以 Linux 系统为目标
多产的 Clop 勒索软件家族的新发现版本对安全团队来说既有好消息也有坏消息。
好消息是恶意软件有问题,受害者可以相对轻松地解密它加密的任何数据,而无需先为解密密钥支付赎金。坏消息是,新的恶意软件也是Clop的第一个Linux版本,Clop是一种特别令人讨厌的勒索软件变种,与众多备受瞩目的攻击有关,这些攻击已为其运营商带来数亿美元。
分析显示,Clop的Linux版本可能仍处于初始开发阶段,并且缺少Windows恶意软件版本中存在的许多混淆和规避功能。安全供应商评估说,造成这种情况的原因可能与以下事实有关:Virus Total 上的 64 个病毒检测引擎中没有一个能够检测到 Linux Clop 变体。
07
新的 QakNote 攻击通过 Microsoft OneNote 文件推送 QBot 恶意软件
近期,在野外观察到一个名为“QakNote”的新QBot恶意软件活动,该活动使用恶意的Microsoft OneNote.one附件用银行木马感染系统。
Qbot是一种前银行木马,后来演变成专门获取设备初始访问权限的恶意软件,使威胁参与者能够在受感染的计算机上加载其他恶意软件,并在整个网络中执行数据窃取、勒索软件或其他活动。
威胁参与者在创建恶意 OneNote 文档(包括 VBS 附件或 LNK 文件)时几乎可以嵌入任何文件类型。然后,当用户双击 OneNote 笔记本中的嵌入附件时,将执行这些操作。
启动后,嵌入的附件可以在本地计算机上执行命令以下载和安装恶意软件。
08
Dingo 加密货币中的后门允许创建者窃取几乎所有东西
Dingo代币(一种据称市值为11万美元的加密货币)的发起者在代码中包含一个后门,向每笔交易收取高达代币价值99%的费用。
这是根据网络安全公司Check Point Software的说法,该公司已经发布了一项咨询,警告潜在投资者该公司所谓的“骗局”。
虽然描述Dingo代币的文件声称该计划每笔交易收取10%的费用,但Check Point研究人员发现47笔交易每笔交易的总费用已增加到99%。根据本周发布的分析,创建者还将未来交易的费用设置为99%,基本上窃取了加密货币任何交易者的资金。
Dingo令牌创建者已经将以前收集的资金转移到其他账户,没有为持有Dingo令牌的人留下任何钱,Check Point Software产品漏洞研究主管Oded Vanunu说。
09
CERT-UA 就 Remcos 软件引发的网络攻击向乌克兰国家当局发出警报
乌克兰计算机应急响应小组 (CERT-UA) 已发出针对该国部署名为 Remcos 的合法远程访问软件的国家当局的网络攻击的警报警告。
大规模网络钓鱼活动归因于它跟踪的威胁行为者UAC-0050,该机构将活动描述为可能是出于间谍活动的动机,因为使用了工具集。
启动感染序列的虚假电子邮件声称来自乌克兰电信公司Ukrtelecom,并带有诱饵RAR档案。在文件中存在的两个文件中,一个是超过600MB的密码保护的RAR存档,另一个是包含打开RAR文件的密码的文本文件。
嵌入在第二个RAR存档中的是一个可执行文件,导致安装Remcos远程访问软件,授予攻击者对被入侵计算机的完全访问权限。
10
CISA 为 ESXiArgs 勒索软件受害者发布恢复脚本
美国网络安全和基础架构安全局 (CISA) 发布了一个脚本,用于恢复最近广泛的 ESXiArgs 勒索软件攻击加密的 VMware ESXi 服务器。
近日,暴露的VMware ESXi服务器成为广泛的ESXiArgs勒索软件攻击的目标。
从那时起,这些攻击根据CISA技术顾问Jack Cable收集的比特币地址列表加密了2,800台服务器。
虽然许多设备都经过加密,但该活动在很大程度上没有成功,因为威胁参与者未能加密存储虚拟磁盘数据的平面文件。
这个错误使YoreGroup技术团队的Enes Sonmez和Ahmet Aykac设计了一种从未加密的平面文件重建虚拟机的方法。这种方法已经帮助许多人恢复了他们的服务器。