美国网络安全和基础设施安全局(CISA)发现名为“Whirlpool”的后门恶意软件用于攻击受损的梭子鱼电子邮件安全网关(ESG)设备。
今年5月,梭子鱼透露,一个疑似亲中国的黑客组织(UNC4841) 利用CVE-2023-2868 零日漏洞 进行数据盗窃攻击, 破坏了ESG(电子邮件安全网关)设备。
CVE-2023-2868 是一个严重程度极高(CVSS v3:9.8)的远程命令注入漏洞,影响 Barracuda ESG 版本 5.1.3.001 至 9.2.0.006。
后来发现,这些攻击 始于 2022 年 10 月 ,用于 安装以前未知的 名为 Saltwater 和 SeaSpy 的恶意软件,以及名为 SeaSide 的恶意工具,用于建立反向 shell,以便轻松进行远程访问。
梭子鱼没有通过软件更新来修复设备,而是 免费向所有受影响的客户提供 更换设备,这表明这些攻击的破坏性比最初想象的更大。
此后,CISA 分享了有关 攻击中部署的名为 Submariner 的其他恶意软件的更多详细信息。
昨天,CISA 披露了另一个名为“Whirlpool”[ VirusTotal ]的后门恶意软件的发现,该恶意软件被发现用于攻击 Barracuda ESG 设备。
Whirlpool 的发现使其成为针对 Barracuda ESG 的攻击中使用的第三个不同的后门,再次说明了为什么该公司选择更换设备而不是用软件修复它们。
CISA 更新的梭子鱼 ESG 恶意软件报告称,“该工件是一个 32 位 ELF 文件,已被识别为名为“WHIRLPOOL”的恶意软件变种 。
“该恶意软件从模块中获取两个参数(C2 IP 和端口号)来建立传输层安全 (TLS) 反向 shell。”
“传递参数的模块无法用于分析。”
从向 VirusTotal 提交的内容来看,Whirlpool 恶意软件似乎在“ pd ”进程下运行。
此前,梭子鱼于 2023 年 5 月 30 日在被黑的 ESG 设备上发现了 SeaSpy,这是一个持久的被动后门,伪装成合法服务,即“BarracudaMailService”,并代表威胁行为者运行命令。
2023 年 7 月 28 日,CISA 警告称,被入侵的 Barracuda 设备中存在一个先前未知的后门,名为“Submarine”。
Submarine 驻留在 ESG 的 SQL 数据库中,允许 root 访问、持久性以及命令和控制通信。
另一份文件中提供了妥协指标和 YARA 规则,可帮助检测 SeaSpy 和 Whirlpool 四种新发现的变种的感染。
如果您在梭子鱼 ESG 设备上发现可疑活动,或发现上述三个后门中的任何一个受到损害的迹象,我们建议您通过“report@cisa.gov”联系 CISA 的 24/7 运营中心,以帮助他们进行调查。
戴尔 Compellent Integration Tools for VMware (CITV) 中存在未修复的硬编码加密密钥缺陷,攻击者可利用该缺陷解密存储的 vCenter 管理员凭据并检索明文密码。
该漏洞编号为 CVE-2023-39250,是由所有安装共享的静态 AES 加密密钥引起的,该密钥用于加密程序配置文件中存储的 vCenter 凭据。
Dell Compellent 是一系列企业存储系统,提供数据处理、实时卷、精简配置、数据快照和克隆以及集成管理等功能。
但是,要集成客户端,必须使用 VMware vCenter 凭据进行配置,这些凭据存储在戴尔程序的加密配置文件中。
LMG Security 的研究员 Tom Pohl在一次渗透练习中发现,Dell CITV 包含一个静态 AES 加密密钥,该密钥对于所有安装的所有 Dell 客户来说都是相同的。
此 AES 加密密钥用于加密包含程序设置(包括输入的 vCenter 管理员凭据)的 CITV 配置文件。
由于 AES 是一种对称密码,因此它使用相同的密钥来加密和解密数据。这使得提取密钥的攻击者可以轻松解密配置文件并检索加密的密码。
Pohl 告诉 28u.cc:“戴尔软件需要管理 vCenter 凭据才能正常运行,并且它使用静态 AES 密钥保护配置文件中的这些凭据。”
“戴尔正在与 vCenter 服务器进行交互,并将其凭据保存在加密的配置文件中,该文件应该完全无法被戴尔软件以外的任何人或任何人查看。”
“攻击者不应该能够访问该文件的内容,但它是可以访问的。但是,由于这个新发现的漏洞,攻击者可以提取戴尔软件用于保护该文件内容的加密密钥。 ”
使用此 AES 密钥,Pohl 可以解密 Dell Compellent 配置文件并检索 VMware vCenter 管理员的用户名和密码,如下所示。
包含该密钥的服务器可以使用弱凭据(admin/admin)访问。然而,正如我们反复看到的那样,由于漏洞或不良做法,威胁行为者可以通过各种方式访问服务器。
此外,该问题可能会被有权访问 Dell CITV 的流氓内部人员或低权限外部攻击者利用。
在这种情况下,LMG 团队本可以进一步利用对域控制的访问权限,但选择创建一个域管理员帐户,利用网络管理员错误地将控制台解锁的机会。
分析师于 2023 年 4 月 11 日向戴尔发送了电子邮件,告知他们这一发现,但计算机和软件供应商最初驳回了该报告,误解了其范围。
经过进一步沟通,戴尔承诺在 2023 年 11 月之前推出修复程序。
由于标准的 90 天漏洞披露政策已经过期,Pohl 在题为“公共场所的私钥”的 DEFCON 会议上公开分享了他的研究成果。
Pohl 于 2020 年在 Netgear 和 Fortinet中发现了类似的硬编码密钥 ,随后得到了修复。
23 年 8 月 10 日更新: 本文发布后,戴尔与 BleepingComputer 分享了 CVE-2023-39250 的公告,建议用户更改 Compellent 设备的 root 密码作为缓解措施。
“Dell Technologies 发布了完整解决方法的说明,以解决适用于 VMware 产品的 Dell Storage Compellent Integration Tools 中的漏洞。客户应尽早查看戴尔安全通报DSA-2023-282以了解详细信息。我们产品的安全性是首要任务对于保护我们的客户来说是优先和关键的。”
但是,尚不清楚这将如何阻止本地用户提取 AES 密钥。
2023 年前 7 个月,网络犯罪生态系统持续快速发展。勒索软件数据泄露攻击、窃取者日志分发以及针对组织的新攻击持续大幅增加。
本文探讨了网络犯罪生态系统的关键组成部分、窃取者日志及其在更广泛的网络犯罪生态系统中的作用。
在过去三年中,信息窃取者恶意软件已成为网络犯罪最重要的媒介之一。
Infostealers 是远程访问木马 (RAT) 的一种形式,它会感染受害者计算机,窃取浏览器中保存的所有凭据以及会话 cookie,同时还会窃取其他敏感数据,例如信用卡信息、加密货币钱包数据和来自主机的其他信息。
然后,日志被使用或分发给其他网络犯罪分子,作为关键的初始向量,从而导致针对组织的金融欺诈、帐户接管攻击、勒索软件分发和数据泄露。
恶意软件即服务 (MaaS) 供应商不断开发信息窃取恶意软件的新变体,然后在专门的 Telegram 渠道中出售。我们今天看到的最常见的变体是RedLine、Vidar 和 Raccoon。
MaaS 供应商通常将其恶意软件打包在方便的每月订阅包中,这些包可以通过一定数量的加密货币轻松购买,并配有命令和控制 (C2) 基础设施以及可无缝管理数十万个窃取者日志的后端。
然后,威胁行为者只需确定将恶意软件分发给消费者的方法即可。
分发通常采取多种形式,其中最常见的一些形式是将信息窃取者有效负载添加到破解软件、网络钓鱼电子邮件、恶意广告和免费视频游戏货币广告中;infostealer 恶意软件主要以“喷雾和祈祷”的方式分布,很少用于有针对性的攻击。
一旦发生感染,数据就会以“窃取者日志”的形式渗透到恶意软件的后端基础设施。
左侧的屏幕截图显示了与常见信息窃取者变体相关的基础设施。这些列显示感染日期、国家/地区代码、标记重复项的复选框、凭据计数,最后是用于识别日志中高价值凭据的自动解析系统。
窃取者日志过去几乎只通过Genesis Market 和 Russian Market等流行的汽车商店在暗网在线商店上分发。
然而,近年来,越来越多的人采用消息平台Telegram来处理与网络犯罪相关的一切,包括窃取者日志分发;在每月收集的超过 100 万条独特日志中,我们目前看到超过 70% 的日志分布在 Telegram 频道上。
威胁行为者团体创建通常称为“云”的通道,他们将在其中出售对新收集的窃取者日志的访问权限,并收取订阅费。
除了出售“私人”频道的访问权限之外,这些团体通常还会有一个“公共”频道,他们在其中分发可被视为潜在买家通过购买其“私人”频道的订阅而获得的访问权限的样本。 。
每天,数千条窃取者日志分布在 Telegram 上,分布在数百个渠道中。
虽然这些渠道的大多数成员都在寻找一种简单的方法来快速赚钱,例如通过利用被盗的加密货币钱包或访问银行帐户,但其他更高级的用户将考虑利用提供的非法访问窃取者日志来破坏公司运营。
我们已经看到大量证据表明,初始访问经纪人(IAB)、在暗网论坛上运作并出售对公司网络和 IT 基础设施的访问权限的威胁行为者,使用日志作为初始访问的主要向量。
一旦 IAB 在公司网络中建立了立足点,访问权限本身就会在暗网论坛上拍卖。
根据所提供的访问级别,这些拍卖对于勒索软件附属机构来说可能很有价值,可以作为勒索软件攻击的“简单”切入点。
窃取者日志对消费者和组织都构成危险,消费者(感染的受害者)面临成为金融欺诈或加密货币盗窃受害者以及未经授权访问其帐户的风险,但数量惊人的窃取者日志也提供了一些企业获得各种服务。
最近的 Flare 分析发现,超过 350,000 个日志包含常用企业应用程序的凭据,包括单点登录 (SSO) 门户、云环境访问权限和其他高价值应用程序。
Flare 可自动检测数千万条窃取者日志中的企业凭据,为安全团队提供情境化的高价值警报。
Flare 的 SaaS 平台可自动检测导致勒索软件攻击、数据泄露和影响组织的其他形式网络犯罪的主要威胁。
注册免费试用,了解 Flare 如何在 30 分钟内将高价值的网络犯罪情报无缝集成到您的安全计划中。
开源项目 Moq(发音为“Mock”)因其在其最新版本中悄悄包含有争议的依赖项而招致了尖锐的批评。
Moq 分布在 NuGet 软件注册表上,每天的下载量超过 100,000 次,在其生命周期内下载量超过 4.76 亿次。
Moq 本周发布的 4.20.0 版本悄然包含了另一个项目 SponsorLink,该项目在开源软件消费者中引起了轩然大波,他们将此举比作违反信任。
SponsorLink 看似开源项目,实际上是作为闭源代码在 NuGet 上提供的,并且包含混淆的 DLL,这些 DLL 收集用户电子邮件地址的哈希值并将其发送到 SponsorLink 的 CDN,引发了隐私问题。
上周,Moq 的所有者之一 Daniel Cazzulino ( kzu )(同时维护 SponsorLink 项目) 将 SponsorLink 添加到 Moq 4.20.0 及更高版本中。
这一举动在开源生态系统中引起了巨大的冲击,主要有两个原因——虽然 Cazzulino 完全有权更改他的项目 Moq,但他在捆绑依赖项之前没有通知用户群,而且 SponsorLink DLL 包含混淆的代码,这使得它很难 实现。进行逆向工程,而不是完全“开源”。
德国软件开发商 Georg Dangl在谈到 Moq 的 4.20.0 版本时表示:“似乎从 4.20 版本开始,就包含了 SponsorLink。”
“这是一个闭源项目,以带有混淆代码的 DLL 形式提供,它似乎至少会扫描本地数据(git config?)并将当前开发人员的哈希电子邮件发送到云服务。”
Dangl 警告说,扫描功能是在构建过程中运行的 .NET 分析器工具的一部分,并且很难禁用。
“我可以理解其背后的原因,但从隐私的角度来看,这确实非常可怕。”
SponsorLink将自己描述为一种将GitHub 赞助商集成到您的库中的方法 ,以便“用户可以正确链接到他们的赞助商以解锁功能,或者只是获得他们支持您的项目应得的认可。”
GitHub 用户 Mike ( d0pare ) 反编译了 DLL,并分享了源代码的粗略重构。据分析师称,该库“产生外部 git 进程来获取您的电子邮件。”
然后,它计算电子邮件地址的 SHA-256 哈希值并将其发送到 SponsorLink 的 CDN: hxxps://cdn.devlooped[.]com/sponsorlink。
“老实说,微软应该将这个与 NuGet 提供商合作的软件包列入黑名单,”奥斯汀的开发人员 Travis Taylor写道。
“作者不可信任。这是一个极其愚蠢的举动,却为很多人创造了大量的工作。”
卡祖里诺在评论中解释了他的理由,承认“4.20”版本是“一种刺痛,这样人们就不会那么认真地对待它”。
“我已经用 SponsorLink 试水一段时间了(自 宣布以来约 6 个月),”Cazzulino 说。
“很难得到实际的反馈,所以即使评论‘有点’严厉,我真的很感激!”
Cazzulino 进一步更新了 SponsorLink 项目的自述文件 ,其中包含如下所示的冗长的“隐私注意事项”部分,该部分澄清了没有实际的电子邮件地址,仅收集了它们的哈希值。这一更新是 在几个小时前——在强烈反对出现之后——发布的。
有人担心 SponsorLink 可能会在未经您明确同意的情况下收集您的电子邮件。这是不正确的,可以通过运行 Fiddler 来查看正在发生的流量类型来轻松验证。
具体来说,在执行赞助检查时永远不会发送实际的电子邮件。您本地计算机上的电子邮件使用 SHA256 进行哈希处理,然后进行 Base62 编码。所得到的不透明字符串(永远不会泄露原始电子邮件)是唯一使用的东西。
SponsorLink 真正获取您的电子邮件地址(以执行该不透明字符串与您的实际电子邮件和 GH 用户的后端关联以链接您的赞助)的唯一时刻是在您安装 SponsorLink GitHub 应用程序并授予其 明确 的 许可 之后。
此外,当您暂停或卸载应用程序时,我们会删除与您的帐户和电子邮件关联的所有记录。
Sonatype 高级安全研究员 Ankita Lamba 在发现更新后告诉:“该通知似乎是对网上强烈反对的反应,而不是该项目预先说明正在收集哪些数据。”
过去,Cazzulino 还为自己保持 SponsorLink闭源 和混淆的决定进行了辩护,以防止其某些检查被绕过。用他的话说,图书馆的不透明特征是“设计使然”。
从道德和法律的角度来看,将 SponsorLink 悄然纳入 MOQ 等项目中是一个隐私问题。
首先是一个模糊的闭源依赖项 (SponsorLink) 的问题,该依赖项通过开源渠道分发,并包含在流行的 OSS 项目中,例如GitInfo,它也是由 Cazzulino 创建并下载了数百万次。
电子邮件地址哈希值的收集也可能不完全是匿名的。
至少从理论上来说,SponsorLink 的开发人员可以将收集到的哈希值与泄露的电子邮件地址数据库进行比较,并识别用户。
“我认为散列更多地是一种默默无闻的安全性。即使是经过散列处理的邮件也只能在征得同意后才发送,” Michał Rosenbaum 说道。
“我想说,现在已经引起了严重的担忧。绝大多数用户甚至不知道已经进行了此更改,并且会遇到问题,” 另一位软件工程师 Kevin Walter表示。
“与 GDPR 一样,对起订量的信任现在已经被打破。至少可以说,这是卑鄙的行为。成为好人之一,”沃尔特敦促卡祖里诺在晦涩难懂的 SponsorLink 套餐方面更加透明。
作为回应,一些开发人员要么威胁停止使用 Moq [ 1 , 2 ],转而采用替代方案,要么构建工具来检测和阻止任何运行 SponsorLink 的项目。
有些人更进一步,建议他们 抵制使用 SponsorLink 的项目,甚至将“SponsorLink”作为恶意软件报告给 NuGet 注册表 [ 1 , 2 ]。
BleepingComputer 在发布前联系了 SponsorLink 的创建者 Cazzulino 征求意见。
谷歌已将 Google Chrome 安全更新计划从每两周一次更改为每周一次,以解决日益严重的补丁间隙问题,该问题使威胁行为者有更多时间利用已发布的 n 天和零日漏洞。
这一新计划将从 Google Chrome 116 开始,计划于今天发布。
谷歌解释说,Chromium 是一个开源项目,任何人都可以查看其源代码并实时审查开发人员的讨论、提交和贡献者所做的修复。
然后,这些更改、修复和安全更新将添加到 Chrome 的开发版本(Beta/Canary)中,并在将其推送到稳定的 Chrome 版本之前对其进行稳定性、性能或兼容性问题测试。
然而,这种透明度是有代价的,因为它还允许高级威胁参与者在修复程序到达稳定 Chrome 版本的庞大用户群之前识别缺陷并在野外利用它们。
谷歌的声明中写道:“不良行为者可能会利用这些修复程序的可见性并开发漏洞来针对尚未收到修复程序的浏览器用户。 ”
“这种对已知且已修补的安全问题的利用称为 n 天利用。”
补丁间隙是指发布安全修复程序进行测试以及最终在软件公开版本中向主要人群推出所需的时间。
谷歌几年前就发现了这个问题,当时补丁间隙平均为 35 天,而在 2020 年,随着 Chrome 77 的发布,谷歌改为每两周更新一次,试图减少这一数字。
通过切换到每周稳定更新,Google 进一步最小化了补丁间隙,并将 n 天的利用机会窗口减少到一周。
虽然这绝对是朝着正确方向迈出的一步,并且会对 Chrome 的安全性产生积极影响,但必须强调的是,它并不理想,因为它不会阻止所有 n 天的利用。
减少更新之间的间隔将阻止需要更复杂的利用路径的缺陷的利用,这反过来又需要更多的时间来开发。
然而,恶意行为者可以使用已知技术对某些漏洞进行有效的利用,这些情况仍然是一个问题。
不过,即使在这些情况下,考虑到用户在安全更新可用后立即应用安全更新,在最坏的情况下,主动利用仍将减少到最长 7 天。
“并非所有安全错误修复都用于 n 天利用。但我们不知道哪些错误在实践中被利用,哪些没有,因此我们将所有严重和高严重性错误视为将被利用,” Chrome 安全团队成员 Amy Ressler 解释道。
“需要做大量的工作来确保这些错误尽快得到分类和修复。”
“每周更新将使我们能够更快地为您提供重要的安全错误修复,并更好地保护您和您最敏感的数据,而不是等待下一次双周更新中包含修复程序。”
最终,新的更新频率将减少计划外更新的需求,使用户和系统管理员能够遵守更一致的安全维护计划。
漏洞补丁缺口也成为 Android 的一个大问题,谷歌最近警告说,n 天漏洞已经变得和零日漏洞一样危险。
不幸的是,Android 生态系统让谷歌更难控制,因为在很多情况下,会发布补丁,制造商需要几个月的时间才能将其引入手机操作系统。
EvilProxy 正在成为针对受 MFA 保护的帐户的更流行的网络钓鱼平台之一,研究人员发现有 120,000 封网络钓鱼电子邮件发送到一百多个组织,以窃取 Microsoft 365 帐户。
这项新研究来自 Proofpoint,该公司警告说,过去五个月里成功的云帐户接管事件急剧增加,主要影响到高级管理人员。
这家网络安全公司观察到由 EvilProxy 支持的大规模活动,该活动结合了品牌假冒、机器人检测规避和开放重定向。
EvilProxy 是一个网络钓鱼即服务平台,它使用反向代理在用户(目标)和合法服务网站之间中继身份验证请求和用户凭据。
由于网络钓鱼服务器代理合法的登录表单,一旦用户登录其帐户,它就可以窃取身份验证 cookie。
此外,由于用户在登录帐户时必须通过 MFA 质询,因此被盗的 cookie 允许威胁行为者绕过多因素身份验证。
据 Resecurity 于 2022 年 9 月报道,EvilProxy 以每月 400 美元的价格出售给网络犯罪分子,承诺能够针对 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和 PyPI 帐户。
Proofpoint 自 2023 年 3 月以来观察到的一个新的网络钓鱼活动正在使用 EvilProxy 服务发送冒充 Adobe、DocuSign 和 Concur 等流行品牌的电子邮件。
如果受害者点击嵌入的链接,他们会通过 YouTube 或 SlickDeals 进行开放重定向,然后进行一系列后续重定向,旨在降低被发现和分析的机会。
最终,受害者登陆 EvilProxy 网络钓鱼页面,该页面反向代理 Microsoft 365 登录页面,该页面还具有受害者的组织主题,以显得真实。
Proofpoint 解释道:“为了向自动扫描工具隐藏用户电子邮件,攻击者对用户电子邮件进行了特殊编码,并使用已被黑客攻击的合法网站上传 PHP 代码来解码特定用户的电子邮件地址。” 。
“解码电子邮件地址后,用户被转发到最终网站 – 实际的网络钓鱼页面,专为该目标组织量身定制。”
研究人员 发现 ,最新的攻击活动将具有土耳其 IP 地址的用户重定向到合法网站,从本质上取消了攻击,这可能意味着该操作位于土耳其。
此外,Proofpoint 注意到,攻击者非常有选择性地选择进入帐户接管阶段的情况,优先考虑“VIP”目标并忽略层次结构中较低的目标。
在账户被盗的人中,39%是C级高管,9%是首席执行官和副总裁,17%是首席财务官,其余是有权接触金融资产或敏感信息的员工。
一旦 Microsoft 365 帐户受到威胁,威胁参与者就会添加自己的多重身份验证方法(通过带有通知和代码的身份验证器应用程序)来建立持久性。
反向代理网络钓鱼工具包,尤其是 EvilProxy,是一种日益严重的威胁,能够以危险的规模提供高质量的网络钓鱼,同时绕过安全措施和帐户保护。
组织只能通过更高的安全意识、更严格的电子邮件过滤规则以及采用基于 FIDO 的物理密钥来防御这种威胁。
Microsoft 的 Visual Studio Code (VS Code) 代码编辑器和开发环境包含一个缺陷,允许恶意扩展检索存储在 Windows、Linux 和 macOS 凭据管理器中的身份验证令牌。
这些令牌用于与各种第三方服务和 API(例如 Git、GitHub 和其他编码平台)集成,因此窃取它们可能会对受损组织的数据安全造成严重后果,可能导致未经授权的系统访问、数据泄露、 ETC。
该缺陷是 由 Cycode 研究人员发现的,他们将其连同他们开发的有效概念验证 (PoC) 报告给了 Microsoft。然而,这家科技巨头决定不解决这个问题,因为扩展预计不会从环境的其他部分沙箱化。
Cycode 发现的安全问题是由于 VS Code 的“秘密存储”中缺乏对身份验证令牌的隔离造成的,该 API 是一个允许扩展在操作系统中存储身份验证令牌的 API。
这是使用 Keytar 完成的,Keytar 是 VS Code 的包装器,用于与 Windows 凭据管理器(在 Windows 上)、钥匙串(在 macOS 上)或密钥环(针对 Linux)进行通信。
这意味着 VS Code 中运行的任何扩展(甚至是恶意扩展)都可以访问秘密存储并滥用 Keytar 来检索任何存储的令牌。
Cycode 研究员 Alex Ilgayev 告诉 BleepingComputer,除了内置的 GitHub 和 Microsoft 身份验证之外,所有保存的凭据都来自使用第三方扩展。
“除了内置的 Github/Microsoft 身份验证之外,VSCode 中保存的所有令牌都来自扩展,”Ilgayev 告诉 https://28u.cc。
“它们要么由官方扩展(来自 Microsoft)定义,例如 Git、Azure、Docker/Kubernetes 等,要么由第三方扩展定义,例如 CircleCI、GitLab、AWS。”
发现问题后,Cycode 的研究人员开始尝试创建恶意扩展来窃取 CircleCI(带有 VS Code 扩展的流行编码平台)的代币。他们通过修改 CircleCI 的扩展来运行一个命令来实现这一点,该命令将公开其安全令牌,甚至将其直接发送到研究人员的服务器。
逐渐地,他们开发了一种更通用的攻击方法来提取这些秘密,而不篡改目标扩展的代码。
接下来,必须对检索到的令牌进行解密,Cycode 发现用于加密令牌的算法是 AES-256-GCM,通常是安全的。但是,用于加密令牌的密钥是从当前可执行路径和计算机 ID 派生的,因此可以轻松重新创建密钥。
检索到的令牌由 VS Code 的 Electron 可执行文件中运行的自定义 JS 脚本解密,解密并打印本地安装的扩展的所有密码。
Cycode 研究人员发现的第二个缺陷是“getFullKey”函数通过给定的“extensionId”检索机密,该“extensionId”源自扩展程序的名称和发布者。
此问题允许任何人修改这些字段并欺骗 VS Code 授予他们访问另一个扩展的安全令牌的权限。
Cycode 使用再次模仿 CircleCI 的 PoC 扩展对此进行了测试;然而,他们指出,复制任何其他扩展并获取其秘密都是微不足道的。
Cycode 告诉 https://28u.cc,他们两个月前向微软披露了这个问题,甚至展示了他们的 PoC 扩展及其窃取存储的扩展令牌的能力。
不管怎样,微软的工程师并不认为这是一个安全问题,并决定维持 VS Code 秘密存储管理框架的现有设计。
https://28u.cc 已联系 Microsoft 请求对上述内容发表评论,但尚未收到对我们问题的答复。
Microsoft 今天发布了 Microsoft Office 的深度防御更新,可防止利用被追踪为 CVE-2023-36884 的远程代码执行 (RCE) 漏洞,威胁行为者已在攻击中利用该漏洞。
在 今天的微软 8 月补丁星期二中,该更新帮助修复了 7 月份披露的安全问题 CVE-2023-36884,微软当时没有修补该问题,但提供了缓解建议。
最初,该错误被报告为 Microsoft Office 中的 RCE,但进一步审查后将其归类为 Windows Search 远程代码执行。
黑客利用该漏洞作为零日漏洞,在 RomCom 威胁组织的攻击中使用恶意 Microsoft Office 文档远程执行代码 ,以达到财务和间谍目的。
在今天的一份 通报中 ,微软将 Office 更新称为“提供增强的安全性作为纵深防御措施”。
该公司的其他信息解释说,该更新旨在阻止触发 CVE-2023-36884 的攻击链。
Microsoft 建议安装今天发布的 Office 更新以及本月起的 Windows 更新。
在最初的通报中,微软解释说,攻击者可以通过电子邮件或消息通信发送特制文件来利用该漏洞。
尽管需要用户交互,但威胁行为者可以轻松地想出足够令人信服的诱饵并引诱潜在受害者打开恶意文件。
根据 Microsoft 的评估,成功利用该漏洞可能会导致机密性、完整性和可用性的严重损失,这意味着攻击者可以丢弃逃避 Web 标记 (MoTW) 防御的恶意文件,并在受感染的系统上提供代码执行。
今天的 Office 更新可阻止利用标识为 CVE-2023-36884 的 Windows Search 安全绕过漏洞,适用于 Microsoft Office 2013/2016/2019 套件以及 32 位和 64 位架构的应用程序。
在针对医疗机构的一波攻击迫使政府机构和网络安全公司更加密切地关注其运作之后,Rhysida 勒索软件行动正名声大噪。
在美国卫生与公众服务部 (HHS) 发布安全公告后,CheckPoint、思科 Talos 和趋势科技均发布了有关 Rhysida 的报告,重点关注威胁行为者操作的不同方面。
此前,6月,Rhysida在其数据泄露网站上泄露了从智利陆军(Ejército de Chile)窃取的文件后首次引起关注 。
当时,SentinelOne 对 Rhysida 加密器的初步分析表明,该勒索软件正处于早期开发阶段,缺少大多数病毒株中常见的标准功能,如持久性机制、卷影复制擦除、进程终止等。
“这是来自网络安全团队 Rhysida 的自动警报,”Rhysida 勒索信中写道。
“不幸的情况发生了——您的数字生态系统已受到损害,大量机密数据已从您的网络中泄露。”
虽然一些勒索软件操作声称不会故意针对医疗机构,甚至在错误操作的情况下提供免费解密密钥,但 Rhysida 似乎并未遵循相同的政策。
Rhysida 暗网数据泄露网站列出了澳大利亚的一家医疗机构,在被盗数据泄露之前给他们一周的时间支付赎金。
美国卫生与公众服务部 (HHS) 上周发布的一份公告警告称,虽然 Rhysida 仍在使用基本储物柜,但其活动规模已发展到危险程度,最近,威胁行为者表现出对医疗保健的关注和公共部门。
美国卫生与公众服务部的公告中写道:“受害者分布在西欧、北美、南美和澳大利亚的多个国家。”
“他们主要攻击教育、政府、制造、技术和托管服务提供商部门;不过,最近也出现了针对医疗保健和公共卫生 (HPH) 部门的攻击。”
不过,Rhysida 尚未对此次攻击承担责任,PMH 也未回复有关勒索软件团伙是否是此次攻击幕后黑手的电子邮件。
如果您有有关此攻击或其他未报告的网络攻击的第一手信息,您可以通过 Signal 与我们秘密联系: +16469613731。
今天发布的趋势 科技报告 重点关注了最常见的 Rhysida 攻击链,解释说该威胁组织使用网络钓鱼电子邮件来实现初始访问,然后部署 Cobalt Strike 和 PowerShell 脚本,并最终释放储物柜。
趋势科技分析师的一个有趣观察是,Rhysida 操作员使用的 PowerShell 脚本会终止 AV 进程、删除卷影副本并修改 RDP 配置,这表明该储物柜正在积极开发。
勒索软件加密器本身通常会处理这些任务,但对于 Rhysida 操作,它们使用外部脚本来达到相同的目的。
Cisco Talos 的报告证实,最新的 Rhysida 储物柜使用 4096 位 RSA 密钥和 ChaCha20 算法进行文件加密,并且现在排除了多个目录以及以下文件类型:
.bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagpkg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .ini thumbs .db .url .iso and .cab
CheckPoint 的报告 更进一步, 根据受害者在两个勒索网站上的发布时间及其类似的受害者定位模式,将 Rhysida 与现已解散的Vice Society 勒索软件操作联系起来。
总之,Rhysida 很快就在勒索软件领域站稳脚跟,针对各个行业的组织,并且毫不犹豫地攻击医院。
尽管 RaaS 在运营方面似乎进展太快,而技术方面却滞后,但这方面的发展表明 Locker 正在迎头赶上。
密苏里州社会服务部警告称,在 IBM 遭受 MOVEit 数据盗窃攻击后,受保护的医疗补助医疗保健信息在数据泄露中暴露。
这次 攻击是由 Clop 勒索软件团伙发起的,该团伙 于 5 月 27 日开始使用追踪为 CVE-2023-34362 的零日漏洞攻击 MOVEit Transfer 服务器。
这些攻击使威胁行为者能够窃取 全球 600 多家公司的数据,包括公司、教育组织、联邦政府机构和地方国家机构。
勒索软件团伙预计将从 这些攻击中获利 75-1 亿美元。
昨天,密苏里州社会服务部披露了一起数据泄露事件,该事件暴露了与该州医疗补助服务相关的健康信息。
DSS数据泄露通知中写道:“密苏里州社会服务部 (DSS) 正在对 2023 年 5 月 IBM Consulting (IBM) 发生的一起数据安全事件做出回应,该事件涉及 Progress Software 的 MOVEit Transfer 软件。 ”
“IBM 是一家向 DSS 提供服务的供应商,DSS 是一个向符合条件的密苏里州人提供医疗补助服务的国家机构。该数据漏洞并未直接影响任何 DSS 系统,但影响了属于 DSS 的数据。DSS 立即采取了措施来应对这一事件,正在进行中。”
IBM 昨天向28u.cc证实,他们的 MOVEit Transfer 服务器在这些攻击中遭到破坏,导致数据被盗。
IBM 在一份声明中告诉28u.cc:“IBM 已与密苏里州社会服务部合作,确定并尽量减少涉及 MOVEit Transfer 事件的影响,MOVEit Transfer 是 Progress Software 提供的非 IBM 数据传输程序。”
“收到 Progress 的安全公告后,我们切断了 MOVEit Transfer 与该部门 IT 系统的交互,以避免对密苏里州公民及其数据造成任何进一步影响。没有 IBM 系统受到影响。”
在分析被盗数据后,DSS 确认其中包含密苏里州医疗补助参与者的受保护健康信息。
“DSS 仍在审查与此事件相关的文件。这需要我们一些时间才能完成。这些文件很大,不是简单的英语,而且由于格式的原因,不容易阅读。”
该机构告诉28u.cc,调查显示仅暴露了两 (2) 个社会安全号码,并且没有识别任何银行信息。
DSS 警告说,由于被盗文件的大小及其格式,可能需要一些时间来分析数据并完全确定数据泄露的范围。
然而,DSS 告诉28u.cc,出于谨慎考虑,他们正在向 2023 年 5 月加入的所有密苏里州医疗补助参与者发送通知。
密苏里州社会服务部建议个人冻结信用,以防止威胁行为者开设新账户或以其名义借钱。
该机构还建议受影响的人监控其信用报告是否存在异常活动。
MOVEit Transfer 攻击影响了其他州机构,包括 路易斯安那州和俄勒冈州机动车辆管理局,该部门在 6 月份警告称,数百万州身份证被盗。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
