英国军事数据泄露提醒国防部门存在第三方风险
发布时间 2024-05-105月9日,此次泄露事件暴露了超过 225,000 名英国军事人员的数据,凸显了与国防实体外部承包商相关的全球安全风险。此次曝光于本周曝光,源于一名威胁行为者从一家公司获取了英国陆军、海军和皇家空军现任、前任和预备役成员的姓名、银行账户详细信息和其他信息为英国国防部 (MoD) 处理薪资服务。BBC和其他英国媒体确认外部承包商为 Shared Services Connected Ltd,并表示被入侵的薪资系统包含多年前的军事人员信息。英国国防大臣格兰特·沙普斯在向议会议员发表的评论中指出,这次袭击是“恶意行为者”所为,很可能得到了民族国家的支持。尽管一些高级政府官员指出中国是最有可能的嫌疑人,但沙普斯本人并没有将这次袭击归咎于任何人的名字。此类违规行为凸显了外部承包商向想要针对军事和国防数据和系统的攻击者提出的脆弱弱点。
https://www.darkreading.com/cyberattacks-data-breaches/breach-of-uk-military-personnel-data-a-reminder-of-third-party-risk-in-defense-sector
2. LOCKBIT 团伙声称对威奇托市袭击事件负责
5月8日,LockBit 勒索软件组织已将威奇托市添加到其 Tor 泄露站点,并威胁要发布被盗数据。威奇托是美国堪萨斯州人口最多的城市,也是塞奇威克县的县城。截至2020年人口普查,该市人口为397,532人。安全漏洞发生于 2024 年 5 月 5 日,市政府立即启动事件响应程序,以防止威胁蔓延。该市正在第三方安全专家以及联邦和地方执法机构的帮助下调查并遏制这一事件。“出于操作安全的目的,这个[声称对此次攻击负责的组织的名称不会被共享。”报告指出。然而,LockBit 勒索软件团伙声称对威奇托市的网络攻击负责。支付赎金的截止日期是 2024 年 5 月 15 日。
https://securityaffairs.com/162910/cyber-crime/city-of-wichita-lockbit-ransomware.html
3. 从垃圾邮件到 AsyncRAT,跟踪非PE网络威胁的激增
5月8日,AsyncRAT,也称为“异步远程访问木马”,是一种高度复杂的恶意软件变体,经过精心设计,旨在破坏计算机系统安全并窃取机密数据。迈克菲实验室最近发现了一种新型感染链,揭示了其强大的杀伤力及其采用的各种安全旁路机制。它利用多种文件类型,例如 PowerShell、Windows 脚本文件 (WSF)、VBScript (VBS) 以及恶意 HTML 文件中的其他文件类型。这种多方面的方法旨在规避防病毒检测方法并促进感染的传播。感染是通过包含 HTML 页面附件的垃圾邮件启动的。在无意中打开 HTML 页面时,会自动下载 Windows 脚本文件 (WSF)。该 WSF 文件的命名方式故意暗示订单 ID,从而营造合法性的假象并诱使用户执行它。执行 WSF 文件后,感染会自动进行,无需进一步的用户干预。感染链的后续阶段包括 Visual Basic 脚本 (VBS)、JavaScript (JS)、批处理 (BAT)、文本 (TXT) 和 PowerShell (PS1) 文件的部署。最终,该链最终导致针对 aspnet_compiler.exe 的进程注入。
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats/
4. 新的幽灵式探路者攻击针对英特尔 CPU
5月8日,研究人员发现了两种针对高性能英特尔 CPU 的新颖攻击方法,可利用这些方法对高级加密标准 (AES) 算法发起密钥恢复攻击。这些技术被来自加州大学圣地亚哥分校、普渡大学、北卡罗来纳大学教堂山分校、佐治亚理工学院和谷歌的一组学者统称为探路者。Spectre 是一类侧通道攻击的名称,这些攻击利用现代 CPU 上的分支预测和推测执行来读取内存中的特权数据,从而绕过应用程序之间的隔离保护。最新的攻击方法针对的是分支预测器中称为路径历史寄存器 ( PHR ) 的功能(该功能保留最后采用的分支的记录),以诱发分支错误预测并导致受害者程序执行非预期的代码路径,从而无意中暴露其机密数据。具体来说,它引入了新的原语,可以操纵 PHR 以及条件分支预测器 (CBR) 内的预测历史表 (PHT),以泄漏历史执行数据并最终触发 Spectre 式漏洞。在研究中概述的一组演示中,我们发现该方法可以有效地提取秘密 AES 加密密钥以及在广泛使用的 libjpeg 图像库处理过程中泄露秘密图像。
https://thehackernews.com/2024/05/new-spectre-style-pathfinder-attack.html
5. 《最终幻想》游戏服务器遭受多次 DDoS 攻击
5月8日,由于一系列持续的 DDoS 攻击,大量垃圾流量淹没了热门视频游戏系列《最终幻想》的服务器,本周玩家登录时遇到了问题。《最终幻想 14》的首次攻击从周一开始,持续了超过 24 小时,影响了世界各地的玩家。当时,该游戏的发行商、日本史克威尔艾尼克斯公司表示,正在“调查此次攻击并采取对策”。然而,周二的攻击再次发生,周三仍在持续,导致玩家登录困难,部分欧洲、北美和大洋洲的数据中心无法访问。Square Enix 尚未将此次攻击归咎于任何黑客组织。该公司表示:“随着情况的发展,将提供更多信息。”当游戏服务器出现连接问题或干扰时,通常会出现90002 错误。
https://therecord.media/final-fantasy-game-ddos-incident-square-enix
6. 黑客滥用Google搜索广告传播MSI打包的恶意软件
5月8日,人们发现黑客利用Google 搜索广告通过 MSI(微软安装程序)包传播恶意软件。该活动涉及名为 FakeBat 的恶意软件加载程序,通过伪装成合法软件下载来瞄准毫无戒心的用户。攻击从看似合法的谷歌搜索广告开始,使用了 Notion 等流行软件的真实网站地址。然而,这则广告只是一个幌子,是由一直使用与哈萨克斯坦相关的身份的威胁行为者购买的。据ThreatDown报道,黑客正在使用 Google 搜索广告来传播带有 MSI 的恶意软件。点击广告会进入一个以欺骗性 URL 托管的网络钓鱼网站,与真实网站类似。该网站提示用户下载MSIX 格式的标准软件安装程序,并以看似可信的名称“Forth View Designs Ltd”签名。该活动利用点击跟踪服务来管理广告的有效性并过滤掉不需要的流量。
https://gbhackers.com/abuse-google-search-ads/#google_vignette
京公网安备11010802024551号