欢迎光临
我们一直在努力

最新的AWS钓鱼活动已让全球数百万用户处于安全威胁之下

Ysck阅读(1)

 

 

根据安全研究专家的最新发现,针对亚马逊AWS的最新型网络钓鱼诈骗活动将能够通过伪造的AWS通知消息来窃取目标的凭证数据。

众所周知,AWS亚马逊公司旗下云计算服务平台,为全世界各个国家和地区的客户提供一整套基础设施和云解决方案。AWS面向用户提供包括弹性计算、存储、数据库、物联网在内的一整套云计算服务,帮助企业降低IT投入和维护成本,轻松上云。

实际上,网络钓鱼欺诈活动一直都处于不断发展和进化之中。从网络钓鱼欺诈活动诞生的第一天开始,通过窃取凭证的方式来获取目标组织的敏感业务数据,一直都是网络犯罪分子们的首要目标。而为了实现这个目标,他们毫无疑问将不遗余力。

为了实现凭证窃取的目的,网络犯罪分子们目前正在尝试通过发布伪造的亚马逊Web服务(AWS)消息通知来窃取目标组织的雇员凭证信息,并通过窃取到的凭证来实现他们的恶意目的。

根据Abnormal Security的安全研究人员透露的内容,网络犯罪分子正在试图通过政府对新冠肺炎所采取的措施来获利,因为新冠肺炎爆发将导致出现大量的封锁区或隔离区,而这些防疫措施将迫使企业或组织开始使用基于云端的应用程序和协同工作程序来实现在线云办公。

在网络犯罪分子最近的一次钓鱼欺诈活动中,攻击者发送了伪造成AWS自动通知消息的网络钓鱼邮件,为了让这些钓鱼邮件看起来真实性更强,攻击者还在文本锚点中包含了指向真实AWS站点的链接地址。

但是,当用户点击了网络钓鱼邮件中的超链接地址之后,他们将会被重定向到一个与原始AWS登录页面完全不同的URL。而毫无防备的用户很有可能在这个伪造的登录页面上输入自己的凭证信息,因为这个钓鱼页面的外观看起来跟合法的AWS登录页面是一模一样的。

 

根据Abnormal Security公司最新发布的博客文章,这一次的网络钓鱼诈骗攻击活动有很多不同的变种版本,其中涉及到多个发件人电子邮件地址、客户端和Payload。但是这些活动都有一个共同的特征,就是所有发送出去的网络钓鱼邮件都来自于同一个IP地址,而这个IP地址由一个法国的VPN服务商托管。

在此次攻击活动中,每一个Payload连接都将指向攻击者所控制的AWS凭证窃取站点。一旦用户在钓鱼页面中输入了自己的登录凭证,那么攻击者将会直接获取到目标用户的AWS账户访问权限,并导致组织的敏感业务数据发生泄漏。

AWS目前在全球拥有数百万的用户,其中甚至还包括美国军方和全球一流的企业组织。如果你的企业也受到了此次攻击活动的影响,那么你就需要提起一万分精神了,并且时刻注意任何意思网络钓鱼活动的行为,因为像Lazarus这种臭名昭著的黑客组织,是最喜欢一大型公司为目标来窃取敏感数据并从中牟利的了。

当然了,您和您的组织也可以遵循下面这套,以保护您的企业免受不断演变的网络钓鱼欺诈。

 

【操作指南】:https://www.hackread.com/how-to-prevent-phishing-targeted-at-your-business/

6月3日每日安全热点 – 苹果越狱零日补丁

Ysck阅读(1)

漏洞 Vulnerability
CVE-2020-5410: Spring Cloud Config Server 目录遍历漏洞通告
(更新)远程利用POC公布|CVE-2020-0796:微软发布SMBv3协议“蠕虫级”漏洞补丁通告
安全资讯 Security Information
最新的AWS钓鱼活动已让全球数百万用户处于安全威胁之下
8Belts公开了全球100,000个在线学习者的个人数据
VMware Cloud Director中的关键漏洞使黑客可以接管公司的基础架构
Sodinokibi勒索软件泄露从英国电力交易机构Elexon窃取的文件
安全研究 Security Research
后堆栈时代的信息泄露漏洞挖掘思路
SMB RPC类漏洞攻防对抗系列:利用SMB_COM_WRITE_ANX分割PRC流量特征

6月2日每日安全热点 – VMware Workstation拒绝服务漏洞

Ysck阅读(3)

安全研究 Security Research
初探施耐德PLC蠕虫技术
格鲁乌的黑暗?揭露Sandworm黑客组织长达数月的邮件服务器劫持
AI与安全「2」:Attack AI(5)偷人又偷心,破坏机器学习模型机密性的三种手法
挖洞经验 | 用多态图片实现谷歌学术网站(Google Scholar)XSS漏洞触发
Linux内核态缺页会发生什么 – 玩转Exception fixup表

黑客团体揭露大量美国警局和政要罪行;Mitron可以在几秒钟内被黑客入侵

Ysck阅读(8)

第7期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第7期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

黑客团体“匿名者Anonymous” 发表视频:揭露大量美国警局和政要黑料

匿名者Anonymous在28日推特上谴责明尼阿波利斯警察局MPD,称他把警察局MPD 的许多罪行暴露于世。声称杀害乔治·弗洛伊德“仅仅是冰山一角”。

目前“匿名者Anonymous”在推特上是热搜第二,第一是“抗议2020”。在“匿名组织Anonymous” 发布视频后,网友总结发生了几件事:

1. 明尼阿波利斯警察局MPD的网站已在30日下线,问题持续了一整夜。 21号访问该网站时,会要求用户填写验证码,以确保他们不是编排DDoS攻击的自动机器人;

2. 入侵了芝加哥PD电台,广播“fuck the police”;

3. 揭露法庭文件显示,特朗普、爱泼斯坦被控贩卖儿童进行性交易,文件显示特朗普被控强奸13岁女孩。文件链接:O网页链接

4. 揭露英国皇室谋杀戴安娜王妃,因为她有证据表明他们卷入了性交易链条。

以上为推特热搜话题“匿名者Anonymous”相关的网络内容的总结,没有其他调查或证据证实以上内容的真实性。很多网友发推称,推特一直在删除同Anonymous有关的帖。

以下为原视频:

视频字幕:

美国的公民们,你们好,这是匿名者给明尼阿波利斯警察局发来的信息

警察暴行和谋杀是美国社会常见问题,毫无疑问它影响着美国所有的地区

但是明尼阿波利斯警察局 是最糟糕的,有严重的暴力执法和腐败

这周George Folyd被残忍杀害,引发了全美的愤怒和抗议

但这仅仅只是冰山一角,还有很多引人注目的相似案件

在过去的二十年,我们看到该地区发生了许多引人注目的杀戮事件。

死者包括 Jamar Clark 、Philando Castile、Justine Damond、Thruman Blevins、Brian Quinones等人的死亡

这些只是头条新闻,我们的录像和其他证据证明警察在撒谎

不幸的是,绝大多数警察杀人事件中,只有活着的警察可以讲述整个过程

循环还在继续,没有一个谋杀者被法律审判

这种悲剧持续了太长时间,现在人们已经受够了

在最近的乔治弗洛伊德案件中

警察执法时对人类生命的公然漠视是不可否认的

所有的证据显示Floyd完全配合警察执法

调查显示警察执法过程中存在暴力犯罪

对Floyd暴力执法的两名警察Derek Chauvin和Tou Thao

他们曾遭到工作中过度使用枪支和暴力执法的投诉

StarTribune报道称:Chauvin要对Floyd的死负直接责任

他工作中多次枪杀嫌疑犯,视频中显示,现场四名警察

一名负责驱散人群,三名负责控制Floyd

围观者曾警告警察Floyd快被压死了,但是现场警察对Floyd的情况漠不关心

你可能辞退这些警察来挽回颜面,但这显然是一种宽恕行为

如果不是受到警察内部或其他执法部门的内部鼓励

警察杀人或者犯罪应也应当追究责任

否则,他们会为所欲为

你可能会说他们只是害群之马的所作所为,那些在发生暴力执法时袖手旁观的警察呢?

还有和你们警局一样不起诉这些罪犯的警局呢?他们也是曾宣誓保护公民中的一员

人们受够了承诺保护他们的组织的腐败和暴力,这些年来的种种

人们已经开始发现到你们不是来保护我们

相反,你们是来压迫我们,完成统治阶级罪犯的意志

为统治阶级维持秩序,而不为被统治者提供保护

事实上,你们是精英阶层用来继续他们全球压迫体系的机制

终于,世界在这点上觉醒了,每次看到无辜人的鲜血,人们一次次更加愤怒

这些警察必须面对刑事指控 ,Chauvin必须面对谋杀指控

不幸的是,我们不相信你们腐败的组织会履行正义

所以我们要对世界曝光你们的罪行

 

任何Mitron(TikTok克隆版)配置文件都可以在几秒钟内被黑客入侵

Tik Tok是抖音短视频的国际版。随着Tik Tok在海外接连获得佳绩,抖音短视频已经成为中国产品在海外获得成功的又一杰出代表,被视为中国移动产品出海的新模式。
但是Tik Tok 在海外的发展并不像国内那么一帆风顺,这主要是由于数据安全和种族政治原因所致。这催生了市场上的新替代产品,其中之一就是Android的Mitron应用程序。该Android应用在Google Play商店发布后仅在48天内疯狂地获得了超过500万的安装和25万个5星级评级。
但是近日,Mitron被《黑客新闻》曝出并不是真正的印度制造产品,该病毒应用程序包含一个非常关键未修补的漏洞,该漏洞可能使任何人都可以入侵任何用户帐户,而无需与目标用户或他们的密码进行交互。

印度漏洞研究人员Rahul Kankrale发现的安全问题在于应用实施使用Google登录功能的方式,该功能要求用户在注册时允许通过Google帐户访问其个人资料信息,但具有讽刺意味的是,它不使用或创建任何用于身份验证的秘密令牌。

换句话说,只要知道他或她的唯一用户ID(这是页面源中可用的公共信息),而无需输入任何密码,就可以登录任何目标Mitron用户个人资料

在另外的新闻中,作为TikTok的本土竞争对手,Mitron应用程序并不是从零开始开发的。取而代之的是,有人从互联网上购买了现成的应用程序,并只是对其重新命名。

尽管该代码是由巴基斯坦公司开发的,但尚未确认Mitron应用程序背后的人的真实身份。

简而言之,由于:

  1. 该漏洞尚未修复,
  2. 该应用的所有者是未知的,
  3. 服务的隐私政策不存在,并且
  4. 没有使用条款,

强烈建议不要安装或使用不受信任的应用程序。

 

一名纽约男子被指控通过SQL注入攻击窃取信用卡数据

20193月,安东年科携带计算机和其他拥有数十万被盗支付卡号的硬件设施从乌克兰抵达纽约,在纽约约翰·肯尼迪国际机场被捕,并因洗钱罪被拘留。 美国司法部指出,纽约市男子维塔利·安东年科为黑客,进行信用卡交易和洗钱。

他们使用一种称为“ SQL注入攻击的黑客技术,在未经授权访问这些网络的情况下,提取了支付卡数据和其他PII,并将其转让给在线犯罪市场出售。

一旦同谋出售了数据,安东年科和其他人就使用比特币以及传统的银行和现金交易来洗钱,以掩饰其性质、位置、来源、所有权和控制权。

与未经授权进入网络有关的指控,最高可判处五年监禁,三年监督释放,罚款25万美元,恢复原状和没收财产。

最终安东年科因洗钱罪名指控面临最高20年监禁和50万美元罚款。早知如此,何必当初。

明尼阿波里斯市政府系统因网络攻击而暂时瘫痪

Ysck阅读(4)

 

明尼阿波里斯(Minneapolis)市政府系统因网络攻击而暂时瘫痪,与此同时,该市市民正在对警方无故杀害乔治•弗洛伊德(George Floyd)这一事件进行愤怒的游行示威。

该市的一位发言人表示:他们的公共网站和系统因拒绝服务攻击(DoS)而暂时关闭,原因是恶意黑客向服务器注入大量流量,导致服务器崩溃。但是工作人员能够在袭击发生后的几个小时内恢复95%受影响的网站和系统,所有系统预计能在当天全部恢复正常。

 

这位发言人没有说明谁是对该市发动网络攻击的幕后黑手,也没有说明这是否与任何抗议活动有关。这位官员说,目前没有证据证明有数据泄露或者被盗等实践发生。

对本次网络攻击事件,发言人给出了这样的解释:“虽然这类网络攻击并非完全不可避免,但它们相当普遍,明尼阿波利斯市已经采取了积极措施,以应对和减轻DOS攻击对我们系统的破坏,明尼阿波利斯市将继续监控相关网站和系统,以确保进一步的攻击不会再次发生”

这次网络攻击发生时,市政府正在应对针对弗洛伊德之死的第二次夜间暴力抗议活动。弗洛伊德是一名黑人,一名警察声称其拘捕,警察将其按倒在地,并用膝盖死死抵住他的脖子长达7分钟,致其窒息死亡。事件发生后,大量示威者抢劫当地商店,并在街上与警察发生冲突,警察向示威者发射催泪瓦斯和橡皮子弹还击。这场动乱目前正在波及全美,并愈演愈烈。

 

此次攻击事件发生的同时,美国各州和地方政府正越来越多地请求联邦政府提供资金,以应对COVID-19疫情期间不断增加的网络安全威胁。

在过去的一年里,勒索软件攻击变得越来越普遍,攻击者加密目标网络的重要数据,并要求受害者支付数据解锁费用。新奥尔良(New Orleans)和巴尔的摩(Baltimore)的市政府网络已经成为勒索软件攻击的受害者,而路易斯安那州(Louisiana)的学区和得克萨斯州(Texas)的小城镇也受到了勒索软件攻击。

6月1日每日安全热点 – 卡巴斯基:安卓APP中可疑广告模块应用

Ysck阅读(6)

安全报告 Security Report
卡巴斯基报告:安卓系统 APP 中可疑广告模块应用
安全研究 Security Research
安全工具 Security Tools
ADCollector – 快速从Active Directory环境中提取有价值的信息
安全资讯 Security Information
触发《美国出口管制》条款:部分人在 IBM 官网下载 AppScan 试用版需审核

5月31日每日安全热点 – 美太空司令部正式接管防御合作项目

Ysck阅读(7)

漏洞 Vulnerability
VMware 发布更新,修复多个漏洞
蓝牙冒充攻击(BIAS)漏洞原理分析
CVE-2020-0096:Android 操作系统的新的严重漏洞,StrandHogg 2.0 Android漏洞影响超过10亿台设备
恶意软件 Malware
使用yarGen提取Linux恶意脚本特征
“Sauron Locker”家族病毒新变种
安全工具 Security Tools
安全报告 Security Report
卡巴Q1季度报告,IT威胁演变统计
安全事件 Security Incident
捕获在野 SMBGhost 本地提权攻击样本
思科披露 VIRL-PE 基础架构漏洞,已被发现在野利用
美国明尼阿波利斯 (Minneapolis) 遭遇网络攻击,城市系统暂时瘫痪
安全资讯 Security Information
美国太空司令部正式接管美国及其盟友太空防御合作项目“奥林匹克防卫者行动”
安全研究 Security Research
游戏检测的对抗与防护艺术
java 函数转 Native 化的一些实践
Linux 安全加固 列表

触发《美国出口管制》条款:部分人在 IBM 官网下载 AppScan 试用版需审核

Ysck阅读(7)

2020年5月29日,业内一朋友在 IBM 官网下载 IBM Security AppScan,IBM® Security AppScan® 是一个适合安全专家的 Web 应用程序和 Web 服务渗透测试解决方案。

他顺利注册 ID ,点击“下载试用版”等步骤,最后点击“下载”时跳转至以下页面:

翻译为中文:

出现了错误

该产品受到严格的美国出口管制法律的约束。在提供访问权之前,我们必须证实您是否有资格在现有美国出口授权的前提下收到该产品。你的请求正在审核中。一旦完成该审核,如果我们能够授予访问权,就会联系您。我们为由此造成的任何不便深表歉意。

请联系我们的MRS支持(英语)部门以报告该问题。

他同时尝试了 IBM 官网其他可供下载的软件产品,可正常下载,一切正常:

而且这款产品在官网内直接搜索是搜索不到下载入口的:

百度可搜索到:

他又重新注册了两个新账户,可正常下载AppScan,只有最开始的账户处于“审核”状态。

云头条也尝试下载,第一次注册ID使用的公司后缀 yuntoutiao.com 邮箱注册,未收到验证码。

第二次换 gmail 邮箱注册成功,未出现以上提示成功下载,如下图:

第三次使用 163 邮箱注册,未收到验证码,注册 ID 失败。

第四次使用 126 邮箱注册 IBM ID,成功收到验证码、成功注册、成功下载:

我们向IBM中国公关询问具体情况,他们称:AppScan 已经出售给 HCL 。

我们查询到 2018 年 12 月 6 日 IBM 官方新闻稿《HCL科技公司斥资18亿美元收购IBM的部分软件产品》,当时我们也有发布过此新闻《IBM 作价 18 亿美元:将 Notes、Domino 在内的软件资产卖给 HCL》:

新闻稿中称:HCL和IBM正在为其中的五种产品建立持续的IP合作伙伴关系。尚无法判断是否涉及 AppScan(IBM公关也未回复)。

HCL是一家印度公司。

我们进一步询问,在这种情况下,为什么还会出现这种提示?对方称尚不清楚。

经过多次测试:目前尚不清楚在何条件下会触发跳转《美国出口管制》约束审核页面。

对应页面链接:https://www.ibm.com/developerworks/cn/downloads/r/appscan/

苹果为ID验证漏洞,支付十万美元赏金

Ysck阅读(15)

中国宏阔黑客联盟消息,近日,苹果最近向印度漏洞研究人员Bhavuk Jain支付了100,000美元赏金,奖励其发现影响“ 使用Apple登录 ”系统的严重漏洞。该漏洞是Bhavuk上个月向苹果安全团队报告,目前苹果现在已修复此漏洞。

这个已修补的漏洞,可以使远程攻击者绕过身份验证,接管使用“使用Apple登录”选项注册的第三方服务和应用程序上的帐户。

去年,苹果公司在WWDC会议启动了“ 苹果ID ”登录第三方的保护隐私机制,该机制允许用户使用苹果ID注册第三方应用程序帐户,并且无需透露实际电子邮件地址。

Bhavuk Jain 在向媒体表示,他发现的漏洞存在于Apple在启动过程中,与苹果服务器认证过程中。

对于那些不了解实际情况的用户,在服务器上通过“使用Apple登录”进行用户身份验证时,可以生成JSON Web令牌(JWT),其中就包含第三方应用程序发来确认登录用户身份的机密信息。

Bhavuk发现,尽管Apple会要求用户在发起请求之前,登录Apple帐户,但是并没有验证是否是同一个人在身份验证服务器请求JSON Web令牌(JWT)。

所以,该机制中缺少的验证问题,可能允许攻击者获取属于受害者的单独Apple ID,从而诱骗Apple服务器生成有效的JWT,最终导致受害者的身份信息被其他人从第三方获取。

Bhavuk表示:“我发现可以向JWT请求来自Apple的任何电子邮件ID,并且使用Apple公钥验证获取的令牌签名后,就可以登录。这意味攻击者可以通过链接获取任何Email ID 并通过访问权限伪造JWT,进而访问受害者帐户。”

即使在第三方服务中隐藏电子邮件ID,该漏洞仍然有效,并且黑客可以利用该漏洞利用受害者的Apple ID来注册新帐户。

Bhavuk还补充说:“此漏洞的影响非常严重,因为它可能导致整个帐户被黑客接管。”

现在许多开发人员已将Sign In与Apple集成在一起,因为这种方式可以帮助其他社交工具减少获客成本。

开发人员表示,尽管该漏洞存在于Apple代码端,但是用户“使用Apple登录”的服务和应用程序中并不受到影响,而且苹果公司现在已修复此漏洞。

中国宏阔黑客联盟了解到,在发放奖金之后,苹果公司正在公司的服务器进行调查,从而确定过去因为该漏洞被影响和破坏的帐户。

需要注意的是,除了这次漏洞,本月早些时候德国达姆施塔特大学的研究人员检查了 MagicPairing 协议中,还发现了iOS、macOS 和它们之间的十个公开漏洞,这些漏洞至今尚未得到解决。中国宏阔黑客联盟

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

5月30日每日安全热点 – Apple 多项服务拒绝服务漏洞

Ysck阅读(20)

漏洞 Vulnerability
CVE-2020-10977: GitLab任意文件读取漏洞
CNVD-2020-30751: Apple 多项服务拒绝服务漏洞
CNVD-2020-30753: Apple CUPS 打印机系统缓冲区溢出漏洞
CNVD-2020-30762: NETGEAR网件多款路由器缓冲区溢出漏洞
安全研究 Security Research
挖洞经验 | 一次性验证密码(OTP)的简单绕过
phpmyadmin<4.8.3 XSS挖掘
安全报告 Security Report
安全工具 Security Tools