Security News

佳能在内部备忘录中遭受勒索软件攻击

佳能遭受的传达勒索软件攻击似乎已被内部备忘录证实, 与迷宫网络骗子采取信贷.据报道,从7月30日开始,该图像网站中断6天,这是一种通过佳能手机应用程序上传和存储图像的服务,导致人们对是否发生了网络攻击的怀疑。虽然现在服务已经重新启动,在网站的最后一次状态更新中,佳能公布一个问题"涉及10GB的数据存储"正在被调查,导致相关移动应用程序和在线平台暂时暂停。 佳能提到,"6月16日之前保存的一些照片和图像文件"是"丢失",但也说,"没有泄漏的图像数据。"如果用户尝试下载或传输静止图像缩略图文件,可能会收到错误。 这可能只意味着与后端服务器的技术问题。但是,同时,该出版物获得的一份内部备忘录警告员工"全公司"IT 问题,包括应用、Microsoft 团队和电子邮件。据信,Maze应该受到谴责,因为威胁组织称,在对这家科技巨头发动成功的加密病毒攻击后,他们窃取了10TB的数据。 然而,Maze 否认对映像.canon 问题负责,因此中断的时间和勒索软件感染可能只是巧合。内部发送的另一份备忘录显示发生了"勒索软件事件",并聘请了一家第三方网络公司进行调查。该集团的"行动"是渗出敏感的公司信息,并威胁要释放它,除非支付。 佳能表示,该公司"目前正在调查此事。"例如,本周早些时候,Maze披露了LG和施乐的千兆字节数据,此前两家公司都拒绝屈服于敲诈。勒索软件,虽然,没有安排在LG的网络。该组织表示,他们只是侵入LG并窃取信息,决定拒绝勒索软件部署,因为LG客户"具有社会意义"。

美国情报局分享俄罗斯,中国和伊朗的选举干预信息

美国国家反情报与安全中心主任威利安·埃文尼娜(Willian Evanina)分享了有关在2020年美国大选之前正在进行的与俄罗斯,中国和伊朗有关的选举影响努力的信息。 他说,谈到在2020年美国总统大选之后被提名为总统的人,每个外国政府都有自己的议程。 埃文娜娜说,俄罗斯演员正在作为美国情报机构认为是在俄罗斯电视台和媒体上共同努力以支持特朗普总统在2020年竞选的一部分。与此同时,中国希望特朗普总统在今年总统大选中失败,因为它认为他是不可预测的。伊朗的努力也反对特朗普的连任,因为他重返白宫将保持美国目前对中东国家政权更迭的压力。 “许多外国演员都对谁赢得选举有偏爱,他们通过一系列公开和私下的言论表达出来;隐性的影响力很少。我们主要关注中国,俄罗斯和伊朗正在进行的和潜在的活动。” “发布这些信息的目的是为了更好地通知美国人,以便他们可以在捍卫我们的选举中发挥关键作用。在2020年美国大选之前,外国将继续使用秘密和公开的影响力措施来影响美国选民。的偏好和观点,改变美国的政策,加剧美国的不和,破坏美国人民对我们民主进程的信心,也可能出于一系列可能的目的,例如干扰投票程序而损害我们的选举基础设施,窃取敏感数据或质疑选举结果的有效性。” Evanina说。 以下是NCSC负责人共享的完整评估,这些评估被美国情报界(IC)称为“最新,最准确,最客观的选举威胁信息”。 -中国-我们评估中国认为特朗普总统-北京认为是不可预测的-不会赢得连任。在2020年11月之前,中国一直在扩大影响力,以塑造美国的政策环境,向其认为不利于中国利益的政治人物施加压力,并转移和反击对中国的批评。尽管中国将继续权衡采取积极行动的风险和利益,但过去几个月来,中国的公开言论越来越批评当前政府的COVID-19应对措施,中国休斯敦领事馆的关闭以及在其他问题上的行动。例如,它严厉批评了政府在香港,TikTok,南中国海的法律地位以及中国为主导5G市场所做的努力的声明和行动。北京意识到,所有这些努力都可能影响总统竞选。 俄罗斯–我们评估俄罗斯正在采取一系列措施,主要primarily毁前副总统拜登及其所称的反俄罗斯“机构”。这与莫斯科在担任副总统时公开批评他有关,因为他在奥巴马政府对乌克兰的政策中扮演的角色及其对俄罗斯内部反普京反对派的支持。例如,亲俄罗斯的乌克兰议员安德烈·德尔卡奇(Andriy Derkach)散布有关腐败的主张,包括通过公开泄漏的电话进行宣传,以破坏前副总统拜登的候选人资格和民主党。一些与克里姆林宫有联系的演员也正在寻求提高特朗普总统在社交媒体和俄罗斯电视上的候选人资格。 伊朗-我们评估,伊朗试图破坏美国民主机构特朗普总统,并在2020年大选之前分裂该国。伊朗在这些方面的努力可能会集中在在线影响力上,例如在社交媒体上散布虚假信息以及反美的流传。内容。德黑兰进行此类活动的动机部分是由于人们认为特朗普总统的连任将导致美国继续施加压力,以推动政权更迭。 埃文娜娜(Evanina)的这一声明是在7月发布该问题之后发表的,当时他概述了外国对美国2020年总统大选的威胁。他说,当时外国广告商正试图“损害美国政治竞选活动,候选人和其他政治目标的私人传播”。 外国赞助的演员也正在协调选举对传统媒体和社交媒体的干预,以“摇摆美国选民的偏好和观点,改变美国政策,增加不和谐,破坏我们对民主进程的信心。” 他说:“在最基本的层面上,我们鼓励美国人用敏锐的眼光看待信息,在重新发布或传播信息之前先检查信息源,保持良好的网络卫生和媒体素养,并向当局报告与选举有关的可疑活动。”

高通芯片中检测到的漏洞使40%的智能手机面临风险

已发现基于Qualcomm的Snapdragon芯片DSP(数字信号处理器),攻击者可以使用几个安全漏洞来控制40%以上的SmartPhone,监视其用户并注入逃避检测的恶意软件。 DSP是片上系统单元,用于包括电视和移动电话在内的消费电子产品中的音频,用于信号和数字图像处理以及电信。这些芯片可以添加到任何设备。不幸的是,他们可能会引入新的星期积分,并扩大设备的攻击面。 据Check Point研究人员称,易受攻击的DSP芯片“几乎可以在地球上的所有Android手机中找到,包括来自Google,三星,LG,小米,OnePlus等的高端手机。但是,苹果的iPhone智能手机产品线却并非如此。研究人员的报告说,受到安全问题的影响。 Check Point向高通公司披露了他们的发现,高通公司对此予以认可并通知设备供应商,并为其分配了六个CVE,包括:CVE:CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207 ,CVE-2020-11208和CVE-2020-11209。根据研究人员的说法,该漏洞使攻击者能够: 将电话变成一个完美的间谍工具,而无需任何用户交互。可以从手机中提取的信息包括照片,视频,通话记录,实时麦克风数据,GPS和位置数据等, 使手机不断反应迟钝。使此手机上存储的所有信息(包括照片,视频,联系方式等)永久不可用,换句话说,这是有针对性的拒绝服务攻击, 使用恶意软件和其他恶意代码可以完全隐藏其活动并变得不可移动 高通公司已修复了DSP芯片上发现的六个安全漏洞。但是,由于设备仍然容易受到攻击,因此存在威胁。 研究人员未发布有关漏洞的任何技术信息。他们在研究报告中说:“但是,我们决定发布此博客,以提高人们对这些问题的认识。我们还更新了相关的政府官员以及与我们合作进行这项研究的相关移动设备供应商,以帮助他们制造手机更安全。向这些利益相关者透露了完整的研究细节。” 高通公司发言人说:“提供支持强大安全性和隐私性的技术是高通公司的首要任务。关于Check Point披露的Qualcomm Compute DSP漏洞,我们进行了认真的工作以验证问题并为OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励最终用户在补丁可用时更新其设备,并仅从受信任的位置(例如Google Play商店)安装应用程序。” “尽管高通已经解决了这个问题,但遗憾的是故事还没有结束。数以亿计的电话面临这种安全风险。您可以被监视。您可能会丢失所有数据。如果恶意攻击者发现并利用了这些漏洞,它将发现数百万的手机用户在很长一段时间内几乎无法保护自己。” Check Point网络研究主管Yaniv...

AdGuad报告了295个恶意Chrome扩展程序

一家提供广告拦截解决方案的公司AdGuard最近报告了大量的Google Chrome浏览器扩展程序,这些扩展程序被发现劫持了Google和Bing搜索引擎并将广告注入其中。 该公司最初是在调查一些假冒的广告拦截器,这些广告拦截器本身就是出于广告目的,而不是做原始工作以使广告远离用户的浏览器。在调查过程中,AdGuard发生了大量的恶意Chrome扩展程序,这些扩展程序主要用于将广告放入用户在Google和Bing上的搜索结果中。 根据AdGuard的提交报告,构成检测到的浏览器劫持群集的所有应用程序都使用fly-analytics.com从此处加载了恶意广告注入代码。在该报告和该公司针对该问题的推文中,一些应用程序开始从网上商店中删除。 该公司在其博客文章中指出了一些其他不良做法,这些不良做法通常在Google Web Store上遇到。例如,看起来很普通的低质量模仿器应用程序的外观和重新出现。但是,这些模仿程序注入了一些恶意代码,从而导致类似的广告生成和浏览器劫持问题。 如果您怀疑一个或多个此类恶意扩展,则必须自行删除它。一旦检测到任何扩展程序有问题,它将在您的浏览器上被禁用,Chrome会在其扩展程序管理菜单中将其标记为恶意软件。但是,它不会自动卸载。 以下是该公司报告的所有恶意扩展的列表: 第6季Fortnite高清壁纸NewTab 3D壁纸高清自定义新标签页 超级少年壁纸恩赫 防弹少年团壁纸高清自定义新标签 GTA 5侠盗猎车手 圣诞树灯NewTab表情符号 CS GO主题NewTab 火影忍者壁纸高清自定义新标签 行星地球自然空间艺术壁纸标签...

微软标记使用HOSTs文件阻止Windows 10遥测为风险

从7月底开始,Microsoft已开始检测会阻止Windows 10遥测服务器的“严重”安全风险的HOSTS文件。 HOSTS文件是位于C:\ Windows \ system32 \ driver \ etc \ HOSTS的文本文件。可以通过管理权限进行编辑。在DNS的帮助下,此类文件用于解析IP地址的主机名。它们通过将主机分配给127.0.0.1或0.0.0.0 IP地址来阻止计算机访问远程站点。 到7月底,Windows 10用户已开始报告Windows Defender已开始将修改后的HOSTS文件检测为“ SettingsModifier:Win32 / HostsFileHijack”威胁。在检测中,当用户单击“查看详细信息”选项时,将向他们显示“设置修改器”威胁已感染其设备,从而导致潜在的不良行为。 BornCity首先检测到此问题。由于主机劫持问题不是新问题,所以奇怪的是,许多用户突然开始报告检测结果。由于过去一直没有听说过这种广泛感染客户的事件,因此在Windows...

最近Trickbot的Achor_Linux恶意软件针对Linux系统和IoT设备

最近,第二阶段安全研究人员Waylon Grange发现了一个新样本,该样本表明Trickbot的Anchor恶意软件平台已移植到感染Linux设备上。 Trickbot是一个多功能的Windows恶意软件平台。它用于各种恶意活动,例如窃取信息,密码,渗透Windows域和传播恶意软件。威胁参与者租用了该恶意软件,并利用它渗透网络并从中获取任何东西。然后,它用于部署Ryuk和Conti等勒索软件来加密网络设备。 在2019年底,SentinelOne和NTT报告了一个名为Anchor的新Trickbot框架,该框架利用DNS与命令和控制服务器进行通信。 Anchor_DNS用于具有有价值的财务信息的高价值,高影响力的目标。恶意行为者使用它来部署勒索软件,并像活动中的APT中的后门一样。 Advanced Intel的分析师Vital Kremez分析了Interzer Labs发现的Anchor_Linux恶意软件,并说,安装后,此恶意软件将使用以下crontab条目将自身配置为每分钟运行: * / 1 * * * * root 该恶意软件还包含嵌入式Windows TrickBot可执行文件。根据Interzer的说法,该嵌入式二进制文件是一种新的轻量级Trickbot恶意软件,其代码与旧的Trickbot工具关联。它用于感染同一网络上的Windows计算机。使用SMB和$ IPC,Anchor_linux将复制嵌入的Trickbot恶意软件以感染网络上的Windows设备。在此之后,Anchor_Linux将使用服务控制管理器远程协议和名为管道的SMB...

微软下周删除与 SHA-1 签名的所有 Windows 下载

微软本周宣布,将在2020年8月3日删除使用SHA-1证书进行加密签名的微软下载中心的所有Windows下载。SHA-1 算法通常用于对 Web 域中使用的可执行文件以及 TLS 和 SSL 证书进行代码签名,以验证发布者的合法性。 安全分析师在 2015 年发布了一份报告,描述了 SHA-1 如何遭受碰撞攻击,攻击者可能会创建数字证书的副本来模仿公司或其他网站。然后,这些副本可用于网络钓鱼攻击、欺骗公司或中间人攻击,以侦听加密的网络会话。由于 SHA-1 证书的故障,Microsoft 和其他创建者已经远离 SHA-1 证书,并要求使用 SHA-2 来安装...

攻击者滥用新广告系列的Google Ads来绕过电子邮件过滤器

未知的攻击者带有一个新的网络钓鱼诈骗,滥用Google广告绕过安全的电子邮件网关,从而将目标组织的员工重定向到某些网络钓鱼页面,以窃取其Microsoft帐户。 SEG或安全电子邮件网关旨在使用过滤攻击来阻止垃圾邮件和网络钓鱼邮件,该过滤攻击会在传入电子邮件到达用户邮箱之前对其进行扫描,以查找恶意内容。 他们可能会利用SEG忽略使用Google Ads平台的域名这一事实。这使攻击者可以绕过电子邮件过滤器,将其网络钓鱼邮件传递到目标收件箱。 Cofense网络钓鱼防御者中心(PDC)的研究人员是最早发现该活动的人。根据他们的说法,网络钓鱼邮件是从受感染帐户发送到多个组织的员工的。 潜在的受害者被告知某些政策变更,并被要求接受变更以继续提供服务。点击网络钓鱼邮件中嵌入的接受按钮,将借助Google Ads重定向将其重定向到某些网络钓鱼页面。 这表明,攻击者很可能会为Google广告付费,然后使用广告的URL将目标重定向到页面,从而窃取Office 365帐户,从而确保网络钓鱼邮件能够到达目标。 仿冒网站页面模仿合法的Microsoft页面,带有Microsoft徽标和目标公司的徽标。首先向目标发送来自Microsoft的克隆隐私策略页面,然后将其发送到模仿受害者公司品牌的Office 365登录页面的最终网络钓鱼页面。 当他们输入凭据,然后单击“下一步”按钮时,他们的帐户信息将自动发送给诈骗者。将会收到文字“我们已更新条款”。在最后阶段,陷入骗局的员工将被发送到Microsoft服务协议页面。  最近的美国银行网络钓鱼活动就是一个例子,这些网络钓鱼采用多种策略来确保其网络钓鱼邮件有较高的机会规避目标用户的电子邮件保护过滤器。在此活动中,诈骗者使用SendGrid成功地通过SPF,DKIM和DMARC真实检查,从而发送了带有正文内容的电子邮件,其中没有正文到恶意外观域的链接。较早的广告系列使用QR码和WeTransfer文件共享通知来绕过安全过滤器。 还发现攻击者滥用了Google,Docs,Google Drive和Microsoft SharePoint作为钓鱼攻击活动的一部分,以躲避SEG,目的是窃取凭据。他们可以将骗局用于其他目的,例如恶意软件分发和财务数据渗漏。

wpDiscuz版本7.0.5修复了使黑客接管托管帐户的错误

Wordfence的威胁情报发现了安装在70,000个基于WordPress的网站上的wpDiscuz插件中的漏洞,允许攻击者在托管漏洞站点的服务器上上传任意文件后,远程执行代码。 对于您的信息,wpDiscuz插件是Disqus和Jetpack Commends的替代方案,它们提供了Ajax实时注释系统,该系统将注释存储在本地数据库中。它带有对多种评论布局,内联评论和反馈以及后期评级系统和多级评论威胁的支持。 尽管wpDiscuz被设计为仅允许使用图像附件,但其中包含的文件模仿类型检测功能以及用于验证文件类型的功能无法阻止用户上传PHP之类的任意文件。在上传到易受攻击的站点托管服务器时,攻击者将知道文件位置,触发服务上的文件执行并实现远程代码执行。 Wordfence的分析师Chloe Chamberland用CVSS基本分数10/10评估了这一严重程度。她说:“如果被利用,此漏洞可能使攻击者能够在您的服务器上执行命令并遍历您的托管帐户,以进一步用恶意代码感染该帐户中托管的任何站点。这将有效地使攻击者完全控制服务器上的每个站点。” 已在6月19日报告此问题,并在尝试使用7.0.4版本失败后,于7月23日发布了完全修补的wpDiscuz版本7.0.5。尽管此版本包含针对RCE漏洞的修复程序,但此插件只有25,000。仅在上周下载。 至少有45,000个具有可用wpDiscuz安装的WordPress站点仍可能受到攻击的风险。强烈建议wpDiscuz用户尽快将插件更新为最新更新。

攻击者伪装为SharePoint通知针对Office 365员工

最近,记录了一个新的网络钓鱼活动,该活动利用伪装为自动SharePoint通知的诱饵消息来使用Microsoft 365帐户来针对员工。 根据电子邮件安全公司“异常安全性”的规定,目标组织的所有员工最多可以访问50个,0000个邮箱。网络钓鱼邮件正在使用gun弹枪方法,试图欺骗至少一名员工,然后使用其凭据来破坏其他员工的系统。这使网络钓鱼活动具有潜在的危险。 攻击者竭尽全力使网络钓鱼消息尽可能简短。此外,他们还强调了在电子邮件中多次包含目标公司的名称。他们的策略很简单-引起信任感,并使目标用户认为网络钓鱼电子邮件实际上来自其组织。 异常现象解释说:“在电子邮件正文中,收件人的公司名称也被多次用来模拟此服务共享的内部文档。由于重复包含公司,收件人可能会确信该电子邮件是安全的并且来自其公司名称。” 网络钓鱼邮件会尝试让用户单击其中提供的超链接。这将通过一系列重定向将员工发送到SharePoint主题的登录页面。这里,提到了下载“重要文档”的按钮。这将下载PDF并将其发送到另一个网站,或将其重定向到提交表单,要求他们输入凭据。 当目标落空时,他们的Microsoft凭据将发送给攻击者,使他们能够完全控制其Office 365帐户。他们可以将此类数据用作身份盗用和欺诈计划(例如商业电子邮件妥协)的一部分。 异常补充说:“这使员工及其网络面临相当大的风险,因为攻击者可以发起内部攻击来窃取组织的更多凭据和信息。” 微软合作伙伴小组PM经理Agnieszka Girling表示:“虽然加速了应用程序的使用并使员工能够远程进行生产,但是攻击者正在考虑利用基于应用程序的攻击来获取对云服务中有价值的数据的不必要访问。”