《维他命》每日安全简讯20190318
发布时间 2019-03-18
1、gnosticplayers在暗网出售第四批共2600万账户信息
gnosticplayers再次在暗网出售用户账户,这是今年2月以来的第四批数据,共包含从6个网站窃取的2600万个账户信息。涉及网站包括印度尼西亚大学和就业平台Youthmanual(112万)、在线学习平台GameSalad(1.5万)、在线购物网站Bukalapak(1300万)、日本在线笔记本Lifebear(386万)、在线书店EstanteVirtual(545万)和预约管理网站Coubic(150万)。这些数据售价为1.2431个比特币(约5000美元)。
2、JS Sniffer GMO恶意攻击,主要针对英国和美国
Group-IB研究团队发现新的恶意代码JS Sniffer GMO的攻击活动,攻击者将恶意代码注入电商网站以窃取消费者的支付信息,包括银行卡信息、姓名、凭证等。至少有七家英国和美国的电商网站受到损害,包括国际体育用品公司FILA UK、家居设计商店jungleeny[.]com、害虫管理产品商店forshaw[.]com、化妆品商店absolutenewyork[.]com、杂货店cajungrocer[.]com、训练设备商店getrxd[.]com和视频编辑服装店sharbor[.]com。GMO自2018年11月以来一直活跃,初步估计至少有5600名客户的信息已经被盗。
3、新无文件钓鱼攻击活动,主要分发NETWIRE后门
FireEye在2019年2月份发现一个新的钓鱼攻击活动,攻击者使用VBScript、PowerShell和.NET框架通过进程挖空技术来实施注入攻击,而不会在硬盘上创建任何PE文件。其分发的最终payload是NETWIRE后门,该后门可以接收C2服务器的命令,执行包括记录密钥、反弹shell、窃取密码、截屏等功能。
4、针对云账户的大规模攻击,利用IMAP协议绕过MFA
Proofpoint观察到2018年9月至2019年2月期间的针对云账户的大规模攻击,攻击者主要针对Office 365和G Suite云帐户,并利用IMAP协议绕过多因素身份验证(MFA)保护。此外,攻击者还利用已经在网上泄露的用户凭据转储来进行密码喷射攻击。研究人员表示,10%的活跃目标账户遭到攻击,而1%的目标账户被成功渗透。40%的攻击者IP地址来源于尼日利亚,26%来源于中国。
5、VMware发布安全更新,修复Workstation和Horizon多个漏洞
VMware发布安全更新,修复多个漏洞,包括Workstation中的提权漏洞(CVE-2019-5511和CVE-2019-5512),这两个漏洞影响了Windows平台的Workstation版本14.x及15.x,Linux平台未受影响,Workstation新版本14.1.6和15.0.3中修复了这两个漏洞;Horizon Connection Server中的信息泄露漏洞(CVE-2019-5513),该漏洞影响了Horizon版本6.x、7.x和7.5.x,建议用户尽快更新至版本6.2.8、7.8和7.5.2。
6、富士通LX无线键盘易受注入攻击,尚无补丁发布
德国渗透测试公司SySS GmbH发现富士通LX无线键盘易受注入攻击的影响。根据研究人员Matthias Deeg的表述,攻击者可通过向键盘的USB接收器发送恶意信号来向计算机注入击键信息。该漏洞存在于USB接收器之中,USB接收器除了接收键盘的加密通信之外,还接收未加密的数据包。研究人员于去年10月向富士通报告了该漏洞,但富士通尚未发布固件补丁。
声明:本资讯由启明星辰维他命安全小组翻译和整理
gnosticplayers再次在暗网出售用户账户,这是今年2月以来的第四批数据,共包含从6个网站窃取的2600万个账户信息。涉及网站包括印度尼西亚大学和就业平台Youthmanual(112万)、在线学习平台GameSalad(1.5万)、在线购物网站Bukalapak(1300万)、日本在线笔记本Lifebear(386万)、在线书店EstanteVirtual(545万)和预约管理网站Coubic(150万)。这些数据售价为1.2431个比特币(约5000美元)。
原文链接:
https://securityaffairs.co/wordpress/82539/data-breach/gnosticplayers-4-round.html2、JS Sniffer GMO恶意攻击,主要针对英国和美国
Group-IB研究团队发现新的恶意代码JS Sniffer GMO的攻击活动,攻击者将恶意代码注入电商网站以窃取消费者的支付信息,包括银行卡信息、姓名、凭证等。至少有七家英国和美国的电商网站受到损害,包括国际体育用品公司FILA UK、家居设计商店jungleeny[.]com、害虫管理产品商店forshaw[.]com、化妆品商店absolutenewyork[.]com、杂货店cajungrocer[.]com、训练设备商店getrxd[.]com和视频编辑服装店sharbor[.]com。GMO自2018年11月以来一直活跃,初步估计至少有5600名客户的信息已经被盗。
原文链接:
https://securityaffairs.co/wordpress/82403/cyber-crime/payment-data-security-breach.html3、新无文件钓鱼攻击活动,主要分发NETWIRE后门
FireEye在2019年2月份发现一个新的钓鱼攻击活动,攻击者使用VBScript、PowerShell和.NET框架通过进程挖空技术来实施注入攻击,而不会在硬盘上创建任何PE文件。其分发的最终payload是NETWIRE后门,该后门可以接收C2服务器的命令,执行包括记录密钥、反弹shell、窃取密码、截屏等功能。
原文链接:
https://www.fireeye.com/blog/threat-research/2019/03/dissecting-netwire-phishing-campaign-usage-of-process-hollowing.html4、针对云账户的大规模攻击,利用IMAP协议绕过MFA
Proofpoint观察到2018年9月至2019年2月期间的针对云账户的大规模攻击,攻击者主要针对Office 365和G Suite云帐户,并利用IMAP协议绕过多因素身份验证(MFA)保护。此外,攻击者还利用已经在网上泄露的用户凭据转储来进行密码喷射攻击。研究人员表示,10%的活跃目标账户遭到攻击,而1%的目标账户被成功渗透。40%的攻击者IP地址来源于尼日利亚,26%来源于中国。
原文链接:
https://securityaffairs.co/wordpress/82480/hacking/imap-protocol-attacks.html5、VMware发布安全更新,修复Workstation和Horizon多个漏洞
VMware发布安全更新,修复多个漏洞,包括Workstation中的提权漏洞(CVE-2019-5511和CVE-2019-5512),这两个漏洞影响了Windows平台的Workstation版本14.x及15.x,Linux平台未受影响,Workstation新版本14.1.6和15.0.3中修复了这两个漏洞;Horizon Connection Server中的信息泄露漏洞(CVE-2019-5513),该漏洞影响了Horizon版本6.x、7.x和7.5.x,建议用户尽快更新至版本6.2.8、7.8和7.5.2。
原文链接:
https://www.us-cert.gov/ncas/current-activity/2019/03/15/VMware-Releases-Security-Updates-Workstation-and-Horizon6、富士通LX无线键盘易受注入攻击,尚无补丁发布
德国渗透测试公司SySS GmbH发现富士通LX无线键盘易受注入攻击的影响。根据研究人员Matthias Deeg的表述,攻击者可通过向键盘的USB接收器发送恶意信号来向计算机注入击键信息。该漏洞存在于USB接收器之中,USB接收器除了接收键盘的加密通信之外,还接收未加密的数据包。研究人员于去年10月向富士通报告了该漏洞,但富士通尚未发布固件补丁。
原文链接:
https://www.zdnet.com/article/fujitsu-wireless-keyboard-model-vulnerable-to-keystroke-injection-attacks/声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号