微软发布新指南:强化防御Kerberoasting攻击
发布时间 2024-10-151. 微软发布新指南:强化防御Kerberoasting攻击
10月13日,微软近期发布了新指南,旨在帮助组织有效防御日益严重的 Kerberoasting 攻击,这种攻击主要针对 Active Directory (AD) 环境。Kerberoasting 利用 Kerberos 身份验证协议窃取 AD 凭据,使攻击者能够广泛访问敏感资源。微软指出,随着网络威胁的不断演变,安全专业人员必须紧跟最新的攻击媒介和防御机制。由于 GPU 加速密码破解技术的运用,Kerberoasting 攻击的有效性正在提升。在 Kerberoasting 攻击中,攻击者通过请求并破解使用账户密码哈希加密的服务票证,来获取账户密码及未经授权的访问权限。特别是密码较弱的账户和使用较弱加密算法(如即将被弃用的 RC4)的账户,更易受到攻击。微软计划在 Windows 11 24H2 和 Windows Server 2025 的未来更新中默认禁用 RC4。为减轻 Kerberoasting 风险,微软建议采取多项措施,包括利用组托管服务帐户 (gMSA) 或委托托管服务帐户 (dMSA)、强制使用强密码、配置服务帐户使用 AES 加密,以及审核并删除不必要的服务主体名称 (SPN)。此外,微软还提供了检测 Kerberoasting 攻击的指导。
https://securityonline.info/microsoft-issues-guidance-to-combat-rising-kerberoasting-attacks/
2. Water Makara利用新逃避技术针对巴西企业部署Astaroth恶意软件
10月14日,Trend Micro研究人员发现,一个名为Water Makara的威胁行为者团体针对巴西企业进行的恶意活动激增,使用了一种新的逃避技术来部署臭名昭著的Astaroth银行恶意软件。此次鱼叉式网络钓鱼活动主要针对拉丁美洲的公司,尤其是巴西的制造公司、零售公司和政府机构,通过冒充官方税务文件并利用个人所得税申报的紧迫性诱骗用户下载恶意软件。攻击者利用mshta.exe执行混淆的JavaScript命令,与C&C服务器建立连接。ZIP文件附件中包含恶意的LNK文件,当用户执行时,会运行嵌入的恶意JavaScript命令。除了LNK文件,ZIP文件还包含另一个具有混淆JavaScript命令的文件。在此次活动中,攻击者使用了多个文件扩展名,如.pdf、.jpg等,以传播恶意软件。解码后的JavaScript命令揭示了一个恶意URL,通过GetObject函数尝试执行或检索对象,可能导致其他恶意操作。Water Makara的鱼叉式网络钓鱼活动依赖于用户点击恶意文件,因此公司应采取最佳实践,如安全培训、强密码策略、多因素身份验证、保持安全解决方案更新等,以加强对此类威胁的防御。
https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html
3. Gmail用户遭AI增强型网络钓鱼攻击,专家亲身揭秘骗局
10月14日,Gmail作为全球最流行的电子邮件服务,拥有超过25亿用户,也因此成为了恶意行为者入侵账户和窃取敏感数据的重点目标。微软安全产品专家、CloudJoy创始人Sam Mitrovic最近警告称,一种复杂的人工智能增强型网络钓鱼计划正针对Gmail用户,就连他自己也中了招。骗局从一封声称来自谷歌的电子邮件开始,邮件诱导他点击链接进入一个仿真的欺诈网站,企图窃取登录凭据。接着,他又收到了来自“Google”的电话,声称检测到其账户存在异常活动。尽管Mitrovic对来电号码进行了在线搜索,并确认了其合法性,但在仔细检查发件人的电子邮件地址后,他敏锐地发现地址伪装成了Google官方域名。此外,Mitrovic还意识到,骗子的声音过于完美,可能是由人工智能生成的。他认为,这是全球范围内的黑客活动,而他只是众多受害者之一。因此,他向公众发出警示,提醒大家诈骗手段日益复杂且令人信服,个人应保持高度警惕,进行基本检查或向信任的人求助,以防范此类攻击。
https://securityonline.info/gmail-scam-alert-hackers-spoof-google-to-steal-credentials/
4. 思科调查数据泄露指控:疑遭黑客入侵
10月14日,思科公司证实正在调查一项指控,指控称一名威胁行为者在黑客论坛上出售据称是从思科窃取的数据,暗示公司可能已遭受入侵。思科发言人表示,公司已了解到相关报道,并已启动调查以评估这一说法的真实性,但目前调查仍在进行中。此前,名为“IntelBroker”的威胁行为者声称,他与另外两名黑客于2024年6月10日入侵了思科系统,并窃取了大量开发人员数据。据黑客论坛的帖子显示,泄露的数据包括各种项目源代码、硬编码凭证、证书、客户SRC、思科机密文档等。IntelBroker还分享了涉嫌被盗数据的样本。值得注意的是,6月份IntelBroker已开始出售或泄露包括T-Mobile、AMD和Apple在内的多家公司的数据。据消息人士透露,这些数据可能是从第三方DevOps和软件开发托管服务提供商处窃取的。然而,目前尚不清楚思科此次泄密事件是否与此前6月份的泄密事件有关。
https://www.bleepingcomputer.com/news/security/cisco-investigates-breach-after-stolen-data-for-sale-on-hacking-forum/
5. 朝鲜黑客利用FASTCash新型Linux变种盗取金融机构资金
10月14日,朝鲜黑客正利用FASTCash恶意软件的新型Linux变种,针对金融机构的支付转换系统实施未经授权的现金提取。FASTCash先前主要针对Windows和IBM AIX系统,但最新发现的Ubuntu 22.04 LTS版本变种显示黑客扩大了攻击范围。自2016年以来,FASTCash已被用于在30多个国家发动ATM取款攻击,窃取数千万美元,CISA于2018年首次警告该威胁,并将其归咎于朝鲜政府支持的黑客组织“隐藏眼镜蛇”。2020年,美国网络司令部将FASTCash 2.0与APT38(Lazarus)联系起来,一年后,三名朝鲜人因涉嫌参与此类计划被起诉,窃取金额超过13亿美元。HaxRob发现的新变种于2023年6月首次提交给VirusTotal,它以共享库形式注入到支付交换服务器进程中,拦截并操纵ISO8583交易信息,将交易拒绝响应替换为批准,并包含随机金额,使黑客能够从ATM中提取现金。该Linux变体在VirusTotal上尚未被检测到,表明其可逃避大多数安全工具。此外,HaxRob还报告了FASTCash新的Windows版本的出现,显示黑客正在积极改进其工具集。
https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/
6. Gryphon Healthcare遭遇数据泄露,40万人信息或遭窃取
10月14日,Gryphon Healthcare是一家总部位于休斯顿的医疗保健服务提供商,遭遇了一起可能涉及多达40万人个人信息泄露的事件。不法分子可能进入了Gryphon一名客户的系统,掌握了患者的姓名、出生日期、地址、社会保险号以及医疗数据,包括诊断、治疗、处方和保险信息等。Gryphon表示非常重视信息安全,尽管没有证据表明数据已被滥用,但已向所有受害者提供12个月的信用监控和身份保护服务。据称,这393,358名个人的数据由Gryphon为其提供医疗账单服务的组织存储,可能包括医院、急诊室、影像中心等多种医疗机构。Gryphon在发现事件后立即采取措施增强安全性,但并未具体说明事件性质。未来几个月,随着律师们拟定集体诉讼计划,Gryphon可能不得不披露更多信息。
https://www.theregister.com/2024/10/14/gryphon_healthcare_breach/
京公网安备11010802024551号