Log4j威胁阴影未散,超13%运行实例仍存安全隐患; APT34最新攻击手法揭秘:瞄准微软Exchange服务器 | 牛览
2024-10-16 20:29:0 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

新闻速览

第八届“强网杯”全国网络安全挑战赛正式启动

•我国科研人员成功用量子计算破解RSA加密算法

•美国背景调查巨头因重大数据泄露事件陷入破产困境

•《精灵宝可梦》开发商遭遇大规模数据泄露,近1TB敏感信息被曝光

•Log4j威胁阴影仍未散,超13%运行实例存安全隐患

•APT34最新攻击手法揭秘:瞄准微软Exchange服务器

•40种新变种现身,TrickMo银行木马威胁再次升级

•警惕!新型供应链攻击盯上了流行开源软件包存储库的入口点

•ConfusedPilot:一种针对RAG AI系统的新型攻击威胁

特别关注

第八届“强网杯”全国网络安全挑战赛正式启动

在中央网信办、河南省人民政府指导下,河南省委网信办、河南省教育厅、郑州市人民政府、信息工程大学、中国网络空间安全协会将联合主办第八届“强网杯”全国网络安全挑战赛,并于近日启动网上报名。  

本届大赛严格落实《关于规范促进网络安全竞赛活动的通知》有关要求,充分发挥网络安全竞赛对人才培养、技术创新、产业发展的促进作用,进一步丰富竞赛内容、创新竞赛形式,着力打造国家网络安全赛事顶级品牌。大赛分为线上赛、线下赛、高阶技术专项赛、青少年专项赛四个部分。

线上赛将于10月中下旬举行,排名靠前的32支战队将参加11月下旬在郑州市举行的线下赛,高阶技术专项赛将于11月底前举办,青少年专项赛拟与线上赛同步举办。

原文链接:

https://mp.weixin.qq.com/s/NsADwksWAcq2gvGPdmipNQ

我国科研人员成功用量子计算破解RSA加密算法

日前,我国上海大学的一个研究团队宣布,已成功利用加拿大D-Wave Systems公司生产的量子计算机,成功破解了一种经典的RSA加密算法,这一突破可能加速量子计算机对现有广泛使用的加密系统构成现实威胁的时间表。

近年来,量子计算技术的迅猛进步已悄然对传统的加密技术构成了潜在的巨大威胁,这一变化在全球范围内引起了广泛而深刻的关注。该研究团队发表的论文指出,D-Wave量子计算机能够优化问题解决方式,具备攻击RSA等经典加密方法的能力。通过D-Wave Advantage系统,团队成功分解了一个22位的RSA整数,展现了量子计算在密码学问题中的应用潜力。该研究强调,量子计算技术可以将密码攻击转换为组合优化问题,从而使其更易于解决。

本次研究不仅限于RSA攻击,该团队还成功攻破了在高级加密标准(AES)中占重要地位的其他算法,例如Present、Rectangle和Gift-64分组密码。

这项研究具有深远的意义。长期以来,业内专家们一直认为量子计算机最终会破解所有的现有加密技术,但该研究表明,量子计算威胁的到来可能比预期更快。

原文链接:

https://mp.weixin.qq.com/s/0w6DNb-b6vc46fwjEgUTTQ

热点观察

美国背景调查巨头因重大数据泄露事件陷入破产困境

近日,美国知名背景调查服务商国家公共数据公司(National Public Data)因遭受严重网络攻击而申请破产保护。据网络安全公司Recorded Future旗下新闻网站The Record报道,这一决定因该公司去年所遭遇的重大数据泄露事件而导致。

据了解,此次数据泄露事件影响范围之广令人震惊,涉及近8.99亿美国公民的社会保障号码。事件源于2023年4月开始的一次数据库入侵,但直到2023年底才被公司发现并承认。随后,超过20个州对该公司提起民事诉讼,寻求处罚,同时联邦贸易委员会也将对其施加巨额罚款。

国家公共数据公司的母公司Jerico Pictures在破产申请文件中表示:"这次事件造成的声誉损害导致客户大量流失。根据各州法律规定,公司可能需要通知数亿受影响个人,并支付其信用监控费用。然而,目前公司的收入已无法应对如此广泛的潜在责任,更不用说为诉讼辩护和配合调查所需的费用。更糟糕的是,公司的保险公司也拒绝为此次事件提供保险赔付。"

这一事件凸显了数据安全对企业生存的重要性。作为一家处理大量敏感个人信息的背景调查公司,国家公共数据公司的数据泄露不仅直接影响了数亿美国公民的隐私安全,还导致公司面临巨额赔偿和法律风险,最终不得不申请破产保护。

原文链接:

https://www.scworld.com/brief/cyberattack-prompts-national-public-data-bankruptcy-filing

《精灵宝可梦》开发商遭遇大规模数据泄露,近1TB敏感信息被曝光

日本知名视频游戏开发商Game Freak近日证实,该公司在今年8月遭遇了一起代号为“Teraleak"的重大数据泄露事件。据Hackread网站报道,黑客窃取了近1TB的公司隐私数据,并于日前在社交媒体平台上公开了部分被盗信息。

作为《精灵宝可梦》系列热门网游的开发商,Game Freak此次泄露的数据涵盖了广泛的敏感信息。泄露内容包括2606名公司员工和第三方供应商的姓名及联系方式、大量内部文件、概念艺术,以及长达25年之久的开发文档。更令人担忧的是,泄露的数据中还包含了未来《精灵宝可梦》游戏的相关材料,以及《名侦探皮卡丘》续集的提案。

目前,对这起事件的调查仍在进行中,尚未有特定的威胁行为者宣称对此负责。安全专家指出,这次泄露事件在规模和性质上与四年前任天堂遭遇的“Gigaleak"事件颇为相似,引发了业界对游戏公司数据安全的广泛关注。

原文链接:

https://www.scmagazine.com/brief/nearly-1-tb-of-game-freak-data-leaked-after-breach

Log4j威胁阴影仍未散,超13%运行实例存安全隐患

近日,软件供应链管理公司Sonatype发布了一项关于Log4j漏洞威胁情况的最新研究报告。该报告显示,尽管Log4Shell漏洞被发现已近三年,但仍有13%的活跃Log4j组件安装在易受攻击的版本中。这一数据虽然较2022年的40%有所改善,但考虑到该漏洞的广泛影响和公众认知度,这一比例显然仍过高。

Log4Shell漏洞于2021年底被发现,是一个严重的开源安全威胁。作为一个广泛使用的开源日志工具,Log4j被嵌入了数千个企业应用程序中。这个关键漏洞为攻击者打开了巨大的攻击面,在公开披露后的几小时内就出现了大规模的利用活动。Log4Shell事件凸显了开源组件中的漏洞能够影响整个软件生态系统,对各行各业的组织造成严重影响。

Sonatype的研究还揭示了一些令人担忧的趋势。2024年的一些关键漏洞修复耗时超过500天,尽管超过99%的软件包有更新版本可用,但80%的应用程序已超过一年仍未升级。这些数据表明,尽管安全社区对软件供应链安全的关注度不断提高,但实际的修复和升级进程仍然缓慢。

原文链接:

https://www.scworld.com/news/vulnerable-instances-of-log4j-still-being-used-nearly-3-years-later

网络攻击

APT34最新攻击手法揭秘:瞄准微软Exchange服务器 

近日,趋势科技的网络安全研究人员发现,一个被称为"油气黑客"(又名Earth Simnavaz、APT34、OilRig)的黑客组织正在大肆利用Microsoft Exchange服务器窃取登录信息。该组织主要针对西亚和海湾地区的能源、政府和关键基础设施领域发起高级网络攻击。

研究人员介绍,该组织的攻击手法十分复杂,包括利用本地Exchange服务器,通过滥用丢弃的密码过滤策略来泄露凭证,并使用远程监控和管理(RMM)工具。他们还部署了名为"psgfilter.dll"的恶意DLL,以在LSA验证过程中拦截明文密码信息。此外,他们还使用名为"STEALHOOK"的自定义后门来检索被窃取的凭证,并通过电子邮件附件泄露数据,这些附件通常通过合法的政府Exchange服务器进行路由。

为了维持持久性,Earth Simnavaz还使用PowerShell脚本、Web Shell和.NET工具。他们的技术包括操作注册表、利用Exchange Web Services(EWS)API,以及利用ngrok工具创建隐蔽通道进行指挥控制(C&C)通信。这种综合性的攻击方法凸显了Earth Simnavaz对关键基础设施和政府系统构成的持续威胁,以及其不断演变的攻击能力。

原文链接:

https://cybersecuritynews.com/oilrig-hackers-microsoft-exchange-breach/

40种新变种现身,TrickMo银行木马威胁再次升级

近日,网络安全公司Zimperium发布报告,揭示了安卓银行木马TrickMo的最新动向。研究人员发现了超过40种新的TrickMo变种,这些变种与16个投放器和22个不同的指挥与控制(C2)基础设施相关,并具备了窃取安卓PIN码的新功能。

TrickMo最早由IBM X-Force于2020年检测记录,但据信自2019年9月起就已开始针对安卓用户发起攻击。而在新版本TrickMo中,主要的升级特性包括一次性密码(OTP)拦截、屏幕录制、数据窃取和远程控制等新功能。该恶意软件试图利用强大的无障碍服务权限来授予自己额外权限,并在需要时自动进行点击。

作为一种面向银行业的木马,TrickMo已经展示出对多种银行和金融机构的钓鱼登录屏幕覆盖能力,以窃取账户凭证,使攻击者能够进行未经授权的交易。Zimperium的分析师还报告了一种新的欺骗性解锁屏幕,它模仿真实的安卓解锁提示,旨在窃取用户的解锁模式或PIN码。这种欺骗性界面是一个托管在外部网站上的HTML页面,以全屏模式显示在设备上,使其看起来像一个合法的屏幕。

为了防范TrickMo感染,研究人员建议安卓用户避免从不明来源下载APK文件,并确保Google Play Protect处于激活状态,因为它能够识别并阻止已知的TrickMo变种。移动设备安全威胁正在不断演变,用户和组织需要保持警惕,采取积极的安全措施来保护敏感信息和财务安全。

原文链接:

https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/

警惕!新型供应链攻击盯上了流行开源软件包存储库的入口点

近日,安全研究人员发现了一种复杂的供应链攻击手法。该攻击能够利用包括PyPI(Python)、npm(JavaScript)、Ruby Gems和NuGet(.NET)在内的流行开源软件包存储库中的入口点。这种攻击方式对个人开发者和企业都构成了重大安全风险,凸显了开源环境中加强安全措施的迫切需求。

据Checkmarx公司报告,攻击者通过创建恶意软件包并定义入口点,模仿流行的第三方工具或系统命令来实施攻击。入口点原本是为了将特定功能暴露为命令行接口(CLI)命令,使用户无需了解包的确切导入路径或结构。然而,攻击者巧妙地利用了这一特性来达成恶意目的。攻击者同时还采用了多种策略来增加攻击的影响力和隐蔽性:

  • 命令劫持:冒充广泛使用的第三方工具,如"aws"、"docker"或"npm";

  • 系统命令冒充:创建模仿基本系统工具的入口点,如"touch"、"curl"或"ls";

  • 命令包装:在原始命令周围实现包装器,在运行合法命令的同时静默执行恶意代码。

为了降低风险,安全专家建议开发者和企业,对第三方包实施更严格的审核流程,定期审计已安装的包及其入口点,使用虚拟环境隔离潜在有害的包,并采用能够检测可疑入口点的全面安全解决方案。

原文链接:

https://cybersecuritynews.com/supply-chain-attack-leveraging-entry/

ConfusedPilot:一种针对RAG AI系统的新型攻击威胁

德克萨斯大学奥斯汀分校的安全研究人员最近发现了一种名为ConfusedPilot的新型攻击手法,能够操控基于检索增强生成(RAG)的AI系统。这种攻击方法可能对包括Microsoft 365 Copilot在内的多种AI系统造成影响,潜在后果包括广泛的错误信息传播和误导决策过程。

ConfusedPilot攻击的核心原理是向AI系统使用的数据池中添加包含特定构造字符串的恶意文档。当用户提出相关查询时,RAG系统会检索包含这些字符串的文档,从而引入多种恶意场景,如内容压制、生成错误信息和错误归属等。值得注意的是,即使恶意文档被删除,其影响可能在系统中持续存在。

这种攻击特别危险,因为它只需基本的访问权限就能操控所有基于RAG的AI系统的响应,并且能够绕过当前的AI安全措施。为应对这一威胁,研究人员建议采取以下缓解策略:

  1. 实施严格的数据访问控制,限制和审查数据上传、修改和删除权限;

  2. 定期进行数据完整性审计,及早发现未经授权的更改或恶意内容;

  3. 采用数据分段策略,将敏感数据与更广泛的数据集隔离,防止损坏的信息在AI系统中传播。

原文链接:

https://www.darkreading.com/cyberattacks-data-breaches/confusedpilot-attack-manipulate-rag-based-ai-systems


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651132663&idx=2&sn=a1e3c648a3ad8695754314d479030c50&chksm=bd15a2248a622b3216326e342e591d4f726847704b20d6ebfce298c3e71b14799c50560a2ebd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh