網(wǎng)絡(luò)安全熱點(diǎn)（2022年6月）

互聯(lián)網(wǎng) 2022-06-20

1、黑客通過(guò)部署Cobalt Strike劫持系統(tǒng)資源來(lái)挖掘Monero加密貨幣

威脅行為者以 Telerik UI 漏洞為目標(biāo)，以破壞服務(wù)器、安裝 Cobalt Strike 信標(biāo)，并通過(guò)劫持系統(tǒng)資源來(lái)挖掘 Monero。攻擊者利用 CVE-2019-18935 漏洞，這是一個(gè)嚴(yán)重嚴(yán)重性 (CVSS v3.1: 9.8) 的反序列化，可導(dǎo)致在 Telerik UI 庫(kù)中遠(yuǎn)程執(zhí)行 ASP.NET AJAX 的代碼。許多 Web 應(yīng)用程序是在開(kāi)發(fā)時(shí)嵌入 Telerik UI 框架版本的項(xiàng)目，然后被遺忘或停止使用。這意味著仍有有效的目標(biāo)可供利用。一旦獲得，攻擊者可以編譯一個(gè)惡意 DLL，其中包含要在解封期間執(zhí)行的代碼，并在“w3wp.exe”進(jìn)程的上下文中運(yùn)行它。

2、黑客利用Zimbra漏洞竊取用戶(hù)登錄信息

據(jù)報(bào)道，郵件巨頭Zimbra某些版本的高嚴(yán)重性漏洞的技術(shù)細(xì)節(jié)已經(jīng)浮出水面，通過(guò)利用該漏洞，黑客可以在沒(méi)有身份驗(yàn)證或用戶(hù)交互的情況下竊取登錄信息，這意味著黑客無(wú)需賬號(hào)密碼即可登錄用戶(hù)的郵箱。研究人員報(bào)告了該漏洞，并對(duì)其進(jìn)行描述，“未經(jīng)身份驗(yàn)證的攻擊者可以將任意 memcache 命令注入目標(biāo)實(shí)例”。因此，攻擊者可以通過(guò)將CRLF注入Memcached查找的用戶(hù)名來(lái)進(jìn)行利用。

3、在AWS上使用MFA釣魚(yú)用戶(hù)

社會(huì)工程是惡意攻擊者未經(jīng)授權(quán)訪(fǎng)問(wèn)其目標(biāo)環(huán)境的最常見(jiàn)方式之一。它利用了所有公司最薄弱的點(diǎn)——人的因素。通常情況下，如果目標(biāo)正在使用多因素認(rèn)證（MFA），網(wǎng)絡(luò)釣魚(yú)活動(dòng)就會(huì)失敗。然而，隨著防御變得越來(lái)越復(fù)雜，攻擊者及其方法也越來(lái)越復(fù)雜，這使得 MFA 幾乎沒(méi)有那么有效。本博客將介紹不同的開(kāi)源選項(xiàng)，以幫助針對(duì)使用 MFA 的目標(biāo)和網(wǎng)站執(zhí)行網(wǎng)絡(luò)釣魚(yú)攻擊。對(duì)于這篇文章，我們將針對(duì) AWS IAM 用戶(hù)登錄，啟用（和不啟用）MFA 來(lái)演示這個(gè)概念。我們選擇使用 AWS 作為示例的另一個(gè)原因是，據(jù)我們所知，之前沒(méi)有發(fā)布過(guò)關(guān)于釣魚(yú) AWS 用戶(hù)的研究，而 Rhino 的團(tuán)隊(duì)已經(jīng)在內(nèi)部使用了一段時(shí)間。

4、FSWAP項(xiàng)目遭受黑客攻擊

北京時(shí)間2022年6月13日晚，F(xiàn)SWAP項(xiàng)目遭受黑客攻擊，黑客通過(guò)操縱DEX的pool中資產(chǎn)比例獲利。黑客共計(jì)發(fā)動(dòng)三筆攻擊，BlockSec成功阻斷攔截了其中2筆攻擊交易，幫助項(xiàng)目方挽回大約3500 WBNB。目前BlockSec正在同項(xiàng)目方聯(lián)系歸還攔截資金。

5、加強(qiáng)文化數(shù)據(jù)安全標(biāo)準(zhǔn)制定與構(gòu)建文化數(shù)據(jù)安全監(jiān)管體系

2022年5月下旬,中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)的《關(guān)于推進(jìn)實(shí)施國(guó)家文化數(shù)字化戰(zhàn)略的意見(jiàn)》要求，“在數(shù)據(jù)采集加工、交易分發(fā)、傳輸存儲(chǔ)及數(shù)據(jù)治理等環(huán)節(jié)，制定文化數(shù)據(jù)安全標(biāo)準(zhǔn)，強(qiáng)化中華文化數(shù)據(jù)庫(kù)數(shù)據(jù)入庫(kù)標(biāo)準(zhǔn)，構(gòu)建完善的文化數(shù)據(jù)安全監(jiān)管體系，完善文化資源數(shù)據(jù)和文化數(shù)字內(nèi)容的產(chǎn)權(quán)保護(hù)措施。”

6、深度解讀十大熱點(diǎn)議題，把脈產(chǎn)業(yè)變革趨勢(shì)

2022年度的全球網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSAC落下帷幕，本次大會(huì)以“轉(zhuǎn)型” （Transform）為主題，被認(rèn)為是去年主題（Resilience，彈性）的延伸和拓展。從彈性到轉(zhuǎn)型，RSAC的主題變化透露出網(wǎng)絡(luò)安全產(chǎn)業(yè)的持續(xù)變革。本屆RSAC的數(shù)據(jù)安全議題集中在數(shù)據(jù)保護(hù)，如云上行業(yè)（如醫(yī)療）數(shù)據(jù)保護(hù)、企業(yè)數(shù)據(jù)保護(hù)、數(shù)據(jù)本地化保護(hù)政策，以及政府?dāng)?shù)據(jù)交易與授權(quán)訪(fǎng)問(wèn)等。在隱私安全方面，熱點(diǎn)議題則集中在如何保障基礎(chǔ)設(shè)施（如5G）、設(shè)備（如汽車(chē)），以及應(yīng)用（如AI、區(qū)塊鏈）的隱私安全方面。

7、LEAF：一款功能強(qiáng)大的Linux安全取證框架

LEAF是一款功能強(qiáng)大的Linux安全取證框架，在該工具的幫助下，廣大研究人員可以輕松對(duì)Linux主機(jī)執(zhí)行信息安全取證任務(wù)。LEAF全稱(chēng)為L(zhǎng)inux Evidence Acquisition Framework，該框架可以從Linux EXT4系統(tǒng)中獲取文件和程序等信息安全取證信息，而且可以接收用戶(hù)輸入?yún)?shù)并進(jìn)行自定義功能擴(kuò)展。向LEAF提供了模塊參數(shù)后，該工具將能夠通過(guò)智能分析技術(shù)來(lái)提取Linux組件，并將分析數(shù)據(jù)輸出到一個(gè)ISO鏡像文件中。

8、攻擊者利用Intel/AMD處理器提頻漏洞來(lái)竊取加密密鑰

在 2017 年被影響現(xiàn)代 Intel、AMD 和 ARM 處理器的“幽靈”（Spectre）和“熔毀”（Meltdown）側(cè)信道攻擊漏洞給震驚之后，現(xiàn)又有安全研究人員曝光了利用 CPU 提頻（Boost Frequencies）來(lái)竊取加密密鑰的更高級(jí)漏洞 —— 它就是 Hertzbleed 。該攻擊通過(guò)監(jiān)視任何加密工作負(fù)載的功率簽名（power signature）側(cè)信道漏洞而實(shí)現(xiàn)，與 CPU 中的其它因素一樣，處理器功率會(huì)因工作負(fù)載的變化而有所調(diào)整。但在觀(guān)察到此功率信息之后，Hertzbleed 攻擊者可將之轉(zhuǎn)換為計(jì)時(shí)數(shù)據(jù)（timing data），進(jìn)而竊取用戶(hù)進(jìn)程的加密密鑰。

9、伊朗攻擊者對(duì)以色列和美國(guó)前高級(jí)官員進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)

研究人員揭露了最近在伊朗開(kāi)展的針對(duì)前以色列官員、高級(jí)軍事人員、研究機(jī)構(gòu)研究員、智囊團(tuán)和以色列公民的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)行動(dòng)。這些攻擊使用定制的網(wǎng)絡(luò)釣魚(yú)基礎(chǔ)設(shè)施，以及大量假冒電子郵件帳戶(hù)來(lái)冒充受信任的一方。為了與新目標(biāo)建立更深的信任，威脅參與者對(duì)一些受害者的收件箱進(jìn)行了帳戶(hù)接管，然后劫持了現(xiàn)有的電子郵件對(duì)話(huà)，以從目標(biāo)和受信任方之間已經(jīng)存在的電子郵件對(duì)話(huà)開(kāi)始攻擊，并以此為幌子繼續(xù)對(duì)話(huà)。為了方便他們的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)操作，攻擊者操作了一個(gè)虛假的 URL 縮短器 Litby[.]us來(lái)偽裝網(wǎng)絡(luò)釣魚(yú)鏈接，并利用合法的身份驗(yàn)證服validation.com來(lái)盜取身份證件。

10、“互聯(lián)網(wǎng)+政務(wù)服務(wù)”下的數(shù)據(jù)安全治理

為進(jìn)一步打破信息孤島、實(shí)現(xiàn)數(shù)據(jù)共享，助力“最多跑一次”改革和政府?dāng)?shù)字化轉(zhuǎn)型，各地政府紛紛成立大數(shù)據(jù)管理局，積極推進(jìn)政務(wù)云建設(shè)，實(shí)現(xiàn)政府信息系統(tǒng)整合共享。但是，隨著政務(wù)信息整合共享工作的開(kāi)展，各委辦局?jǐn)?shù)據(jù)在不斷匯聚集中，在這些匯聚集中的海量數(shù)據(jù)中不乏涉及國(guó)家安全、經(jīng)濟(jì)發(fā)展與社會(huì)民生的重要、敏感及個(gè)人隱私數(shù)據(jù)。各種數(shù)據(jù)整合匯聚后，會(huì)涉及數(shù)據(jù)發(fā)布、數(shù)據(jù)加載、共享交換、使用和銷(xiāo)毀等諸多環(huán)節(jié)，任一環(huán)節(jié)都可能因技術(shù)或人為因素造成敏感信息的泄露。數(shù)據(jù)安全問(wèn)題已成為制約數(shù)據(jù)匯聚集中后數(shù)據(jù)開(kāi)發(fā)利用、價(jià)值挖掘的主要瓶頸。解決數(shù)據(jù)安全問(wèn)題最根本的途徑，就是對(duì)數(shù)據(jù)進(jìn)行有針對(duì)性的安全治理。

【以上信息來(lái)源于互聯(lián)網(wǎng),由中科至善匯總整理】

Zimbra漏洞竊取用戶(hù)登錄信息

上一篇：醫(yī)療行業(yè)信息安全所面臨的威脅與風(fēng)險(xiǎn)

下一篇：我國(guó)首個(gè)個(gè)人信息保護(hù)與確權(quán)服務(wù)平臺(tái)正式上線(xiàn)，2022年6月第三周網(wǎng)安資訊