01
攻击者通过恶意软件FakeCrack窃取并收集敏感数据和加密资产
研究人员发现了一个恶意软件活动,跟踪为 FakeCrack,通过搜索结果传播 CCleaner Pro Windows 优化程序的盗版副本。研究人员指出,该活动背后的运营商使用大型基础设施来传递信息窃取恶意软件并从受害者那里收集敏感数据,包括加密资产。据透露,Avast 每天阻止了大约 10,000 名用户的感染,其中大部分位于巴西、印度、印度尼西亚和法国。专家分析了八个可执行文件,它们都具有信息窃取功能。恶意代码从 PC 中获取敏感信息,包括来自浏览器的密码或信用卡数据以及钱包凭据。然后数据以加密的 ZIP 格式上传到 C2,研究人员注意到 ZIP 文件加密密钥被硬编码到二进制文件中,这意味着它可以很容易地访问它。信息窃取恶意软件还使用代理从一些加密市场窃取凭据和其他敏感数据。威胁参与者设置一个 IP 地址以下载恶意代理自动配置脚本 (PAC),然后在系统中设置此 IP 地址,每次受害者访问列出的域之一时,流量都会重定向到代理服务器。有了这个技巧,攻击者就可以进行中间人攻击。
(来源:)
02
ServerLess Aws Lambda攻击与横向方法研究
Serverless,即无服务器计算。然而Serverless不是不再需要服务器,而是公司或开发者不用过多考虑服务器的问题,计算资源仅作为一种服务而不再以物理硬件的形式出现。Serverless免除公司和开发者对服务器维护的麻烦,因此也不用考虑DevOps了。公司和开发者只需关注应用的开发和运维即可,因此Serverless可以在更大程度上节约运维的成本。
(来源:)
03
2022年 ISC 国际超算竞赛结果公布!清华、中大与南科大包揽前三
欧洲的 ISC 超算竞赛是超级计算机领域的顶级赛事之一,是 ISC 国际超算大会的重要组成部分,与中国的 ASC 竞赛、美国的 SC 竞赛被并称为世界三大超算赛事。而 ISC 国际超算大会由国际高性能计算指导委员会和国际超算组织主办,是世界上历史最悠久、欧洲顶级的面向国际高性能计算社区的会议和网络活动。近日,2022 年 ISC 国际超级计算机竞赛总决赛结果公布,来自中国的三所高校包揽了线上赛道的全球前三名!这三所学校分别是清华大学、中山大学与南方科技大学,他们分别获得冠军、亚军和季军。
(来源:)
04
黑客利用Facebook Messenger对百万用户进行网络钓鱼活动
网络安全专家发现了一场大规模的网络钓鱼活动,该活动使用 Facebook Messenger 诱骗数百万人输入他们的登录详细信息并观看网络钓鱼页面上的广告。威胁参与者使用这些被盗帐户向他们的朋友发送更多网络钓鱼消息,从而从在线广告佣金中获得可观的收入。由于更多 Facebook 账户被黑,网络犯罪分子利用自动化软件向受影响账户的朋友发送额外的网络钓鱼链接,导致被盗账户数量大幅增加。据 BleepingComputer 称,在发现他们可以未经身份验证访问网络钓鱼活动统计页面后,专家们指出,2021 年有 270 万人访问了其中一个网络钓鱼门户。情况在 2022 年发生了变化,这一数字增加到 850 万,表明该业务取得了巨大的增长。更深入的调查显示,有 405 个不同的用户名用作活动标识符,每个用户名都有自己的 Facebook 网络钓鱼页面。这些网络钓鱼页面的页面浏览量从 4,000 到数百万不等,其中一个达到 600 万。用户在网络钓鱼网页上输入登录详细信息后,他们会被重定向到广告页面、调查表和其他网站。
(来源:)
05
黑客组织对以色列的制造业、信息技术行业和国防行业发起攻击
安全人员近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析,安全人员认为其很有可能是由伊朗情报与安全部(MOIS)下属的攻击者运营的。并且,安全人员未发现该组织的攻击与过往黎巴嫩相关攻击组织有任何关联。自从 2020 年以来,有消息称伊朗正在从第三方代理人处开展网络攻击行动,以对抗归因指责。在过去的三个月中,POLONIUM 组织已经攻击了二十余个以色列组织与一个在黎巴嫩开展业务的政府间合作组织。该攻击利用合法云服务(OneDrive)与受害者进行 C&C 通信。自 2022 年 2 月以来,POLONIUM 主要针对以色列的制造业、信息技术行业和国防行业发起攻击。在一个案例中,发现 POLONIUM 将一个 IT 公司攻陷后利用其进行供应链攻击,攻击下游航空公司与律师事务所。该组织攻击的多个制造业公司也都是为以色列国防部门服务的。
(来源:)
06
攻击者利用新的Emotet变体从Google Chrome窃取信用卡信息
研究人员报告了新一波Emotet感染,特别是一种新变种正在使用一个新的信息窃取模块,用于窃取存储在 Chrome 浏览器中的信用卡信息。一旦收集到卡片数据,该模块就会将其泄露到不同于加载程序模块的 C2 服务器。研究人员报告称,传播 Qbot 和 Emotet 恶意软件并针对组织的恶意垃圾邮件活动在 2 月至 3 月期间增长了 10 倍。研究人员公布了恶意垃圾邮件活动的活动显着增加,该活动传播危险的恶意软件 Emotet 和 Qbot,并以企业用户为目标。此类恶意电子邮件的数量从 2022 年 2 月的约 3,000 封增长到 3 月的约 30,000 封。该活动可能与 Emotet 僵尸网络活动的增加有关。
(来源:)
07
Cannoli——一个高效跟踪QEMU 指令和内存操作的引擎
Cannoli是一款面向qemu用户的高性能跟踪引擎,是一个 Rust 编写的 Python(Python 3.6.5) 编译器,旨在评估对性能有负面影响的 Python 语言特性。它可以记录所执行的 PC 以及内存操作的轨迹。Cannoli 旨在以最小的 QEMU 执行干扰记录这些信息。这意味着 QEMU 需要产生一个事件流,并将它们移交给另一个进程来处理更复杂的事件分析。在QEMU JIT执行期间进行分析会大大降低执行速度。Cannoli可以每秒处理数十亿条目标指令,可以处理多线程qemu-user应用程序,并允许多个线程使用来自单个QEMU线程的数据以并行处理跟踪。
(来源:)
08
统筹推进数据跨境流动监管与数字贸易发展
数据跨境流动在提升经济和贸易效率、促进数字贸易繁荣发展的同时,也给国家安全、企业利益、个人隐私带来诸多风险。世界各国普遍加大了对数据跨境流动的监管力度,而这又在一定程度上阻滞了数字贸易合作与发展潜力的释放。在数据爆炸式增长的环境中,必须按照统筹“发展”与“安全”,统筹好数据跨境流动监管与数字贸易发展。因此,要充分理解数据跨境流动监管与数字贸易发展之间的辩证关系,在维护国家数据安全和保护个人隐私的同时,为数字贸易国际合作营造良好数字营商环境。
(来源:)
09
攻击者利用漏洞Follina下载Qakbot木马程序盗取隐私信息
近日,威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名”Follina”),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。
(来源:)
10
美国拆除SSNDOB地下市场
6月7日,美国司法部发布新闻稿表示,在美国联邦调查局、国税局、司法部以及塞浦路斯和拉脱维亚执法当局的合力下,已成功拆除SSNDOB市场。该地下市场运营多年,主要用于出售美国公民的个人信息,包括姓名、出生日期和社会安全号码。SSNDOB使用互为镜像的四个站点(SSNDOB.club、SSNDOB.vip、SSNDOB.ws、blackjob.biz),以缓解DDoS攻击及执法行动。当用户注册SSNDOB账户后,他们会收到一个与其帐户关联的地址,他们可以将加密货币(主要接受比特币)转移到该地址以使用该市场的服务。根据网络安全公司的几项调查,该市场上的个人信息主要盗窃自医院和医疗保健机构数据库。
(来源:)
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。(绿盟威胁情报中心官网:)
点击下方“阅读原文”查看更多安全资讯
↓↓↓