Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

【资安日报】8月2日,黑客通过网络问答平台Stack Exchange散布恶意PyPI套件,目标是Raydium区块链用户

Share

支付動態

2024-08-02

研究人员发现针对Raydium区块链用户的恶意套件攻击行动,黑客刻意在网络问答平台Stack Exchange通过提出「有帮助的答案」,引诱这些用户上当

恶意套件攻击结合社交工程手法的情况,最近不断出现,例如,有人为了引诱特定目标下载恶意PyPI套件,疑似借由假LinkedIn帐号误导AI搜索引擎,类似的混合攻击手法又有新的案例出现。

资安业者Checkmarx揭露从6月底出现的恶意PyPI套件攻击行动,黑客在6月25日上传无害的软件套件到PyPI存储库,但到了7月3日显露意图,发布多个恶意版本套件。研究人员指出,攻击者主要目标是区块链平台Raydium、Solana的用户,意图将他们的加密货币资产耗尽,超过2千人下载相关套件而可能受害。

比较特别的是,黑客为了引诱用户上当、下载恶意套件,他们通过名为Stack Exchange的网络问答网站来进行宣传,借由在热门讨论串提供看似有用的答案来进行。

中国黑客组织APT10锁定日本关键基础设施、学术机构,利用后门程序LodeInfo、NoopDoor从事网络间谍攻击

上个月日本电脑紧急应变团队暨协调中心(JPCERT/CC)揭露攻击行动MirrorFace的最新态势,当中提及黑客锁定当地制造业、研究机构发动攻击,企图在这些企业组织植入后门程序NoopDoor,如今有资安业者公布与这支恶意程序有关的细节。

根据资安业者Cyber​​eason的调查,中国黑客组织APT10使用LodeInfo与NoopDoor两款恶意程序,锁定日本企业组织发起名为Cuckoo Spear的攻击行动,而能在受害组织的网络环境活动长达2至3年。他们提及这项攻击行动与黑客组织Earth Kasha,以及另一起攻击行动MirrorFace有所关连,因为这三个行动所用的武器有个共通点,那就是APT10惯用的恶意程序LodeInfo。

研究人员提到,黑客在使用NoopDoor的攻击行动,同时运用后门程序LodeInfo,然后使用新的后门程序窃取受害组织数据。他们看到黑客的攻击目标是日本的关键基础设施及学术机构,推测黑客的目的是从事网络间谍活动。

可恶安卓恶意软件BingoMod,盗完银行帐户还顺手抹除设备

资安公司Cleafy研究发现了新种类的Android恶意软件,并命名为 BingoMod。BingoMod会试图接管设备上银行帐户并且转移金钱,在成功完成盗取任务后,攻击者便会抹除受感染的设备,消除BingoMod的活动痕迹,增加资安人员调查的难度。

BingoMod属于远程存取木马(RAT),攻击者可以利用它远程控制受感染的设备,并且利用设备上诈骗(On Device Fraud)技术接管银行帐户。BingoMod主要通过短信钓鱼的方式散布,其通常会伪装成合法的杀毒软件,一旦BingoMod安装至受害者设备上,便会要求用户激活无障碍服务,当用户授予请求权限,BingoMod APK便会开始自我解压缩,并且运行恶意酬载。

此恶意软件虽然拥有类似于Brata恶意软件的设备抹除能力,但因为BingoMod相对简单,所以研究人员猜测其设备抹除功能,比较像是一种简单的退出策略。

研究人员揭露专门窃取安卓手机短信的大规模攻击行动,范围横跨113个国家

用手机产生动态密码(OTP)的多因素验证机制相当普遍,广受许多企业的采用,但黑客也试图入侵手机窃取这类信息,从而闯入受害者所属的企业组织网络环境。

资安业者Zimperium指出,他们自2022年2月开始,追踪专门针对安卓设备的窃取短信攻击行动,这段期间他们找到超过10.7万个相关恶意应用程序,黑客锁定、监控至少600种知名厂牌的动态密码信息,其中部分厂牌的用户多达数亿,范围横跨全球113个国家,主要目标是印度及俄罗斯用户。

值得留意的是,攻击者能够回避许多杀毒软件的侦测,因此,行动设备可能需要通过多种管道来强化安全。

解析0719全球电脑大当机原因,资安专家推测CrowdStrike病毒特征码设计不良,造成蓝色当机画面

从早期的杀毒软件到现在的EDR软件,这些防护端点设备的资安软件,早成为个人电脑用户与黑客对峙的第一线战场。日前资安软件CrowdStrike因为EDR软件更新出包,引发全球约850万台微软电脑,出现蓝色当机画面(BSOD)的资安事件。

虽然真正的原因,还是必须等CrowdStrike完整调查并公布后,才可能有进一步的了解,不过,根据对微软操作系统安全有研究的匿名资安专家的推测,CrowdStrike之所以更新出错,原因在于挂载设计不良的特征码包,导致操作系统内核的驱动逻辑出现问题(Parser解析逻辑不良),所以会误用不存在内存的指针null-pointer读取内容,造成BSOD蓝色当机画面。

这次事故发生之后,也引发其他的讨论,例如,操作系统是否应该允许资安产品拿到高权限?有台湾资安业者对此持肯定态度,他们认为,若要侦测到恶意程序的运作,这类端点防护产品就必须对操作系统拥有更高的权限,才可以更早拦截到恶意程序的运作。

其他攻击与威胁

逾2万台VMware ESXi服务器曝露在已被利用的CVE-2024-37085危险当中

研究人员揭露脸书诈骗攻击行动Eriakos,利用数百个网站窃取用户财务数据

Cloudflare试用服务遭滥用,黑客借此散布恶意程序

黑客组织Patchwork滥用渗透测试工具Brute Ratel C4攻击不丹

尼日利亚黑客滥用逾6万个Instagram帐号,锁定美国进行性勒索

 

【资安产业动态】

美国发布用来评估AI安全的Dioptra平台

美国国家标准暨技术研究院(NIST)发布Dioptra 1.0,这是用来评估AI安全及可靠性的软件测试平台,支持AI风险管理框架(AI RMF)的测量功能,可评估、分析及追踪AI风险。

Dioptra最早现身于2022年,当时NIST形容是可用来评估适合用来保护机器学习系统之安全技术与解决方案的方法,并让研究人员比较用来对抗不同攻击、数据集或各种状况的方法。

而今发布的Dioptra 1.0版预计提供几项功能,一为模型测试,如第一方于开发生命周期中评估AI模型,或是第二方在收购前或于实验室环境中以Dioptra来评估AI模型,以及身为第三方的审计员或合规官员用来评估模型的法规与道德标准。

Google着手处理Chrome密码管理工具的臭虫

日前有多名Chrome用户在Reddit上反映,存储在Chrome浏览器的密码全部消失,而且将密码备份导入后也会立即不见。用户发现在升级到127.0.6533.73版本后,才出现存储密码全部消失、无法按原本设置自动填入的情况。

Google接获通报后进行调查,并在将近18小时后紧急修补完成,并发布状态页解释。根据Google初步分析,原因是Google产品开发部门对Chrome的产品行为做了变更,但未做好功能保护,导致密码管理器无法存储或找到密码。实际上,密码并未消失或被重设;用户仍然能存储密码,但却无法视图。

本问题影响Chrome M127版本,约有25%用户已经部署了这次变更,其中近2%出现密码神秘消失的情形。

 

近期资安日报

【8月1日】Azure服务出现不稳定的异常情况,微软表示起因与DDoS攻击有关

【7月31日】研究人员揭露针对性的PyPI恶意套件攻击行动,意外扯出AI搜索引擎被误导的新型态社交工程危机

【7月30日】上个月公告、修补的VMware ESXi身分验证绕过漏洞,去年已有多组人马将其用于攻击行动

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+