Globant确认Lapsus$黑客攻击后70GB被盗数据泄露

安全资讯

1、Hive勒索软件使用新的“IPFusion”技巧隐藏有效负载

威胁分析人员发现了Hive勒索软件团伙使用的一种新的混淆技术,该技术涉及IPv4地址和一系列转换,最终导致下载钴打击信标。代码混淆具有帮助威胁参与者向人工审查者或安全软件隐藏其代码的恶意性质,以便他们能够逃避检测。实现混淆的方法有很多种,每种方法都有自己的优缺点,但在涉及蜂巢勒索软件的事件响应中发现的一种新方法表明,对手正在寻找新的、更隐蔽的方法来实现他们的目标。

分析人员在分析64位Windows可执行文件时发现了这项新技术,每个可执行文件都包含一个有效负载,可以传递信息。有效负载本身以ASCII IPv4地址数组的形式被混淆,因此它看起来像是一个无害的IP地址列表。在恶意软件分析中,该列表甚至可能被误认为是硬编码的C2通信信息。

当文件被传递给将字符串转换为二进制的转换函数(ip2string.h)时,会出现一个外壳代码块。完成此步骤后,恶意软件通过直接系统调用或通过用户界面语言枚举器(winnls.h)上的回调代理执行外壳代码,从而产生标准的Cobalt Strike stager。

来源:安全客

2、FBI打击BEC网络犯罪团伙

美国联邦调查局及其国际执法合作伙伴开展的一项协调行动导致多个国家的商业电子邮件泄露(BEC)计划遭到破坏。这项行动被称为“鹰扫”,持续了三个月,从2021年9月开始,导致在美国、尼日利亚、南非、柬埔寨和加拿大逮捕了65名嫌疑犯。

BEC参与者是高级骗子,他们欺骗真实公司的员工向他们控制的银行账户付款,假装是商业伙伴或提交合法付款单的公司。通常情况下,这些威胁行为人在破坏了其公司网络后,会监控其目标的通信,以确定金融交易过程中的薄弱点和可利用点。他们通常会在正确的时机通过劫持电子邮件线程或使用伪造的账户请求将实际发票付款转移到新的银行账户。根据联邦调查局的互联网犯罪投诉中心(IC3)2021的犯罪报告,在过去一年中,BEC诈骗案造成的经济损失达到了24亿美元。

来源:安全客

3、QNAP警告,严重的OpenSSL漏洞会影响其大多数NAS设备

     总部位于台湾的网络连接存储(NAS)制造商QNAP周二警告称,其大多数NAS设备都受到两周前披露的一个严重OpenSSL漏洞的影响。攻击者可以利用CVE-2022-0778跟踪的漏洞触发拒绝服务状态,并远程使未打补丁的设备崩溃。

     虽然两周前漏洞被公开时发布了一个补丁,但QNAP解释说,其客户将不得不等到公司发布自己的安全更新。它还敦促客户在发布任何安全补丁后立即安装,以阻止潜在的攻击。QNAP表示:“据报道,OpenSSL中的无限循环漏洞会影响某些QNAP NAS。如果攻击者利用该漏洞进行拒绝服务攻击。“目前没有针对此漏洞的缓解措施。我们建议用户在安全更新可用后立即检查并安装。

来源:安全客

4、Globant确认Lapsus$黑客攻击后70GB被盗数据泄露

IT和软件咨询公司Globant证实,他们被Lapsus$数据勒索集团破坏,该集团的数据包括管理员凭据和源代码,由威胁参与者泄露。作为泄密的一部分,黑客组织发布了一份从Globant窃取的70GB数据档案,称其为“一些客户的源代码”和私钥。

GulnAtter是一家IT和软件开发公司,在全球拥有超过16000名员工,2021美元的收入12亿美元。Globant成立于阿根廷布宜诺斯艾利斯,目前总部位于卢森堡,拥有一系列知名客户,包括大都会警察局、SmileDirectClub、Autodesk、Electronic Arts、桑坦德、Interbank、Royal Caribbean等。

今天,该团伙的第三篇帖子分享了一个torrent文件,其中包含从Globant窃取的约70GB数据。该公司表示,其系统上的入侵者访问了“为数量非常有限的客户提供的特定源代码和项目相关文档”。

来源:安全客

最新漏洞

1、Tenda AC6 PowerSaveSet函数堆栈溢出漏洞

Tenda AC6是中国腾达(Tenda)公司的一款无线路由器。Tenda AC6 PowerSaveSet函数存在堆栈溢出漏洞,攻击者可利用此漏洞导致任意命令执行。

来源:CNVD

2、WordPress plugin WP Statistics SQL注入漏

      WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。WordPress plugin WP Statistics存在SQL注入漏洞,攻击者可利用该漏洞在没有身份验证的情况下注入任意SQL查询以获取敏感信息。

来源:CNVD

3、Minimist存在未明漏洞

     飞利浦 Philips e-Alert是荷兰飞利浦公司的一种主动的、基于传感器的方式来监控的成像系统。提供对关键 MRI 参数的快速洞察,帮助生物医学和飞利浦服务工程师采取快速行动,在问题升级之前解决问题。Philips e-Alert存在访问控制错误漏洞,该漏洞源于软件不会对关键系统功能执行任何身份验证。

来源:CNVD

4、NGINX缓冲区溢出漏洞

      Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。Nginx存在缓冲区溢出漏洞,该漏洞源于njs 0.7.0及之前版本的 /src/njs_vmcode.c中的 njs_vmcode_typeof 存在越界数组访问。目前没有详细的漏洞细节提供。

来源:CNVD

威胁情报

1、韩国威胁组织 DarkHotel 瞄准中国澳门酒店展开攻击

      事件概述:

DarkHotel 是一个疑似韩国高级持续威胁 (APT) 组织,旨在针对执法、制药和汽车制造商以及其他行业展开攻击。该组织通过使用恶意代码的鱼叉式网络钓鱼活动瞄准酒店和商务酒店访客,从而在入住豪华酒店时从首席执行官和销售负责人等高管那里窃取敏感数据,从而得名。近日,Trellix 研究人员监测发现韩国威胁组织 DarkHotel 针对中国澳门某皇宫等主要连锁酒店的第一阶段的恶意攻击活动。

技术详情:

攻击始于一封针对酒店包括人力资源副总裁、助理经理和前台经理等管理人员的鱼叉式网络钓鱼电子邮件。此鱼叉式网络钓鱼攻击的电子邮件包含带有 Excel 工作表的附件。此 Excel 表格用于欺骗受害者并在打开时启用嵌入的恶意宏,宏通过创建计划任务来执行识别、数据列表和数据泄露。然后,为了与用于泄露受害者数据的命令和控制服务器进行通信,宏使用已知的 lolbas 技术来执行 PowerShell 命令行作为受信任的脚本进行通信。组织归因:

l攻击活动所用的 IP 归属于 DarkHotel C2 活动;

l目标行业和国家符合 DarkHotel 目标;

l命令和控制面板显示了归因于 DarkHotel APT 的已知开发模式。

来源:微步在线

2、漏洞风暴 | 网络协议漏洞或在未来攻防中掀起血雨腥风

     

事件概述:

      在传统意义上,我们一般对漏洞有三种分类:Web 漏洞、二进制漏洞、逻辑漏洞,这样的分类方式是来自于技术类别。而我们单独提“协议漏洞”这个概念的时候是按业务场景来分类的,其实不只是协议漏洞,在实际中还有很多漏洞都不能按上述的三种类别来准确描述其特点,例如环境变量注入漏洞、各类利用 RPC 实现提权的漏洞等。而把“协议漏洞”单列一类基本上有如下的原因:

l 大部分都是协议设计阶段引入的问题,而不是软件实现阶段;

l 大部分存在跨软件、跨操作系统,甚至是跨硬件平台的通杀现象;

l 漏洞利用的目标通常是实现通信劫持,而不是RCE/ACE。

“协议漏洞”在漏洞响应处置上和一般软件漏洞不同,因为常常出现跨软件通杀,所以一个漏洞的修复就可能需要协调多个厂商共同完成。目前,业界对此类漏洞的关注度目前还不是特别高,该漏洞或在未来攻防中掀起血雨腥风,应对这些“特殊”漏洞的挑战还是值得从业人员们调整一下思路。

来源:微步在线

END

更多信息请左下角“阅读原文”

扫码关注我们数据安全能力引领者!