二維碼網(wǎng)絡(luò)釣魚攻擊泛濫!美國著名能源企業(yè)成主要攻擊目標(biāo)
近日,Cofense發(fā)現(xiàn)了一次專門針對(duì)美國能源公司的網(wǎng)絡(luò)釣魚攻擊活動(dòng),攻擊者利用二維碼將惡意電子郵件塞進(jìn)收件箱并繞過安全系統(tǒng)。在歸因于該活動(dòng)的1,000封電子郵件中,約有三分之一(29%)是針對(duì)美國一家大型能源公司的,其余的則是針對(duì)制造業(yè)(15%)、保險(xiǎn)業(yè)(9%)、科技業(yè)(7%)和金融服務(wù)業(yè)(6%)的公司。攻擊開始時(shí)會(huì)先發(fā)送一封釣魚電子郵件,提醒收件人必須盡快更新其Microsoft 365帳戶設(shè)置。郵件中的PNG或PDF附件會(huì)帶有二維碼,收件人會(huì)被提示掃描以驗(yàn)證其賬戶。為了增加緊迫感,郵件還指出收件人必須在2-3天內(nèi)完成這一步驟。威脅行為者使用嵌入在圖片中的QR代碼繞過電子郵件安全工具,這些工具會(huì)掃描郵件中的已知惡意鏈接,從而使網(wǎng)絡(luò)釣魚郵件到達(dá)目標(biāo)收件箱。為了規(guī)避安全問題,釣魚活動(dòng)中的QR代碼還使用了必應(yīng)、Salesforce和Cloudflare的Web3服務(wù)中的重定向功能,將目標(biāo)重定向到Microsoft 365釣魚頁面。
QR碼過去也曾被攻擊者用于其在法國和德國的網(wǎng)絡(luò)釣魚活動(dòng),盡管規(guī)模較小。此外,這些詐騙者還利用二維碼誘騙人們掃描,并將他們重定向到惡意網(wǎng)站,試圖竊取他們的錢財(cái)。網(wǎng)絡(luò)犯罪分子越來越多地利用二維碼竊取憑證和財(cái)務(wù)信息。盡管二維碼能有效繞過保護(hù)措施,但它仍然需要受害者采取行動(dòng)才能被破解,這是一個(gè)有利于訓(xùn)練有素人員的決定性緩解因素。此外,現(xiàn)代智能手機(jī)上的大多數(shù)二維碼掃描器都會(huì)要求用戶在啟動(dòng)瀏覽器前驗(yàn)證目標(biāo)URL,以此作為保護(hù)措施。除培訓(xùn)外,建議企業(yè)使用圖像識(shí)別工具作為其網(wǎng)絡(luò)釣魚防護(hù)措施的一部分,盡管這些工具不能保證捕捉到所有QR代碼威脅。
房源數(shù)據(jù)服務(wù)商遭勒索軟件攻擊,美國房地產(chǎn)市場(chǎng)陷入混亂
過去五天,美國加州一家房源掛牌服務(wù)提供商遭遇網(wǎng)絡(luò)攻擊,導(dǎo)致全國各地房屋買家、賣家、房地產(chǎn)經(jīng)紀(jì)人和房源網(wǎng)站業(yè)務(wù)受阻。該公司提供一項(xiàng)關(guān)鍵在線工具,幫助房地產(chǎn)專業(yè)人士掛牌房源、查看待售房源、追蹤掛牌房源。這次攻擊始于上周三(8月9日),襲擊對(duì)象是位于加州的軟件和服務(wù)提供商Rapottoni公司。該公司為加州乃至全美各地區(qū)房地產(chǎn)集團(tuán)提供多重房源掛牌服務(wù)(也叫MLS),房地產(chǎn)經(jīng)紀(jì)人可以實(shí)時(shí)獲取各類房屋的銷售數(shù)據(jù),包括即將入市的房屋、購房報(bào)價(jià)以及已入市房屋的銷售信息。多重房源掛牌服務(wù)在買家與賣家、經(jīng)紀(jì)人和房源掛牌網(wǎng)站之間架起了重要橋梁。Rapottoni公司在8月9日遭受黑客攻擊,持續(xù)多天后服務(wù)器仍然處于離線狀態(tài)。雖然Rapattoni公司將此事稱為網(wǎng)絡(luò)攻擊,但媒體普遍報(bào)道這是一次勒索軟件攻擊。比如房地產(chǎn)信息網(wǎng)站Inman報(bào)道稱,勒索軟件攻擊是導(dǎo)致系統(tǒng)中斷的原因。Inman援引Rapattoni向其客戶發(fā)送的消息,稱聯(lián)邦當(dāng)局正在展開調(diào)查,其保險(xiǎn)公司正在與“勒索軟件個(gè)體”進(jìn)行協(xié)商。
這次系統(tǒng)中斷明確提醒大家,一旦重要服務(wù)被黑,大批依賴這項(xiàng)服務(wù)的人員或企業(yè)將面臨現(xiàn)實(shí)干擾。人們紛紛采取各種措施以減少影響,并不是所有地區(qū)的房源掛牌服務(wù)都受到影響,因?yàn)橐恍┑貐^(qū)的數(shù)據(jù)供應(yīng)商并不是Rapattoni。全美范圍內(nèi)有數(shù)百家多重房源掛牌服務(wù)商。數(shù)據(jù)顯示,Rapattoni提供了其中約5%的服務(wù)。如果未來幾天內(nèi)無法恢復(fù)服務(wù),這次系統(tǒng)中斷可能會(huì)給經(jīng)紀(jì)人、買家、租戶和賣家造成更嚴(yán)重的影響。
Mac安全專家揭露蘋果漏洞,其惡意軟件檢測(cè)工具可被繞過
在美國拉斯維加斯舉辦的Defcon黑客大會(huì)上,長(zhǎng)期研究Mac安全的專家Patrick Wardle展示了他對(duì)蘋果macOS后臺(tái)任務(wù)管理機(jī)制的漏洞研究成果--——其發(fā)現(xiàn)的漏洞可以被利用來繞過蘋果最近添加的惡意軟件監(jiān)控工具。我們知道,如果某款軟件突地持久化,則意味著可能存在惡意行為?;谶@一點(diǎn),蘋果在2022年10月發(fā)布的macOS Ventura中添加了后臺(tái)任務(wù)管理器,用于在“持久化事件”發(fā)生時(shí)直接向用戶和運(yùn)行在系統(tǒng)上的第三方安全工具發(fā)送通知。Wardle在Defcon上表示:“當(dāng)某個(gè)東西持久化安裝在設(shè)備上時(shí),應(yīng)該有那么一款工具來通知用戶,這是蘋果添加的一個(gè)好東西——但具體實(shí)施得太糟糕了,以至于任何稍微復(fù)雜的惡意軟件都可以輕易地繞過監(jiān)控?!睋?jù)Wardle所說,他在發(fā)現(xiàn)漏洞的契機(jī)是,他自己就寫過類似的工具,所以對(duì)此十分敏感:“我想知道蘋果的工具和框架是否也有同樣的問題,結(jié)果發(fā)現(xiàn)確實(shí)有。惡意軟件仍然可以以完全不可見的方式持久化?!?/span>
在周六展示的三種繞過方法中,其中一種需要擁有目標(biāo)設(shè)備root權(quán)限。但其余兩種則都不需要root權(quán)限就能夠禁用蘋果后臺(tái)任務(wù)管理器發(fā)送給用戶和安全監(jiān)控產(chǎn)品的持久化通知。其一利用了警報(bào)系統(tǒng)與計(jì)算機(jī)操作系統(tǒng)核心之間通信的錯(cuò)誤;其二利用了一種允許用戶(即使沒有深層系統(tǒng)權(quán)限)將進(jìn)程置于休眠狀態(tài)的功能在通知到達(dá)用戶之前進(jìn)行干擾。Wardle此前已向蘋果公司報(bào)告了這些問題,蘋果對(duì)此進(jìn)行了修復(fù)。但Wardle表示蘋果沒有發(fā)現(xiàn)該工具的更深層次問題:“就像在飛機(jī)墜毀時(shí)貼上一些膠帶一樣,他們沒有意識(shí)到這個(gè)功能需要大量的工作。
“匿名者”組織網(wǎng)絡(luò)攻擊日本核電團(tuán)體,抗議福島核廢水排放計(jì)劃
國際黑客組織Anonymous(“匿名者”)對(duì)日本的核電相關(guān)團(tuán)體發(fā)起了網(wǎng)絡(luò)攻擊,以抗議計(jì)劃將處理過的放射性水從癱瘓的福島核電站釋放到海中。NTT Security Japan表示,自上個(gè)月以來,國際原子能機(jī)構(gòu)在其最終報(bào)告中表示計(jì)劃的排放將符合全球安全標(biāo)準(zhǔn)后不久,“匿名者”就一直在加強(qiáng)其網(wǎng)絡(luò)攻擊。這家總部位于東京的公司的代表表示:“需要保持警惕,因?yàn)榕欧艑?shí)施后攻擊可能會(huì)進(jìn)一步升級(jí)。”該國際黑客組織的目標(biāo)組織是日本原子能機(jī)構(gòu)、日本原子能公司和日本原子能協(xié)會(huì)?!澳涿摺卑l(fā)起了分布式拒絕服務(wù)(DDoS)攻擊,黑客在短時(shí)間內(nèi)從多個(gè)來源釋放大量數(shù)據(jù),導(dǎo)致網(wǎng)絡(luò)不堪重負(fù),此次攻擊由意大利的一個(gè)組織領(lǐng)導(dǎo)。NTT Security表示,一個(gè)位于越南的團(tuán)體的活動(dòng)也已得到證實(shí)。日本原子能機(jī)構(gòu)表示,其網(wǎng)站的流量是平時(shí)的100倍,但用戶可以繼續(xù)瀏覽該網(wǎng)站,因?yàn)樗扇×藢?duì)策。
在日本政府于2021年正式?jīng)Q定從東京電力控股公司福島第一核電站釋放處理過的水后,“匿名者”發(fā)布了其攻擊的“目標(biāo)清單”。NTT Security表示,除了三個(gè)核電相關(guān)組織外,東京電力公司,經(jīng)濟(jì),貿(mào)易和工業(yè)部以及自民黨也在名單上?!澳涿摺眳f(xié)會(huì)的一名成員最近告訴共同社,日本政府釋放處理水的政策缺乏透明度,因?yàn)楣駸o法參與其決策過程。該成員表示:“我們必須結(jié)束將海洋變成經(jīng)濟(jì)利益傾倒場(chǎng)的毫無意義的行為。”
WinRAR解壓縮軟件存在漏洞,允許黑客執(zhí)行任意代碼
WinRAR是最為流行的Windows解壓縮軟件之一,據(jù)稱擁有數(shù)以億計(jì)的用戶。近日,趨勢(shì)科技Zero Day Initiative在該軟件中發(fā)現(xiàn)了一個(gè)高危漏洞——打開壓縮文件時(shí)會(huì)允許黑客在計(jì)算機(jī)上執(zhí)行任意代碼。據(jù)了解,該漏洞(CVE-2023-40477)存在于恢復(fù)卷的處理過程中,原因是缺乏對(duì)用戶提供數(shù)據(jù)的正確驗(yàn)證。2023年6月8日,Zero Day Initiative的研究員“goodbyeselene”將該漏洞報(bào)告給了RARLAB廠商。ZDI在公告中寫道:“此漏洞允許遠(yuǎn)程攻擊者在受影響的RARLAB WinRAR安裝上執(zhí)行任意代碼。利用此漏洞需要用戶交互(如打開惡意文件)。具體的缺陷存在于恢復(fù)卷的處理過程中。問題在于缺乏對(duì)用戶提供數(shù)據(jù)的正確驗(yàn)證,這可能導(dǎo)致內(nèi)存訪問超出已分配緩沖區(qū)的末尾。攻擊者可以利用此漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼?!?/span>
從實(shí)際角度來看,攻擊者欺騙用戶執(zhí)行所需操作并不會(huì)太過困難,而且考慮到WinRAR的龐大用戶群,攻擊者有足夠的幾率進(jìn)行成功利用。對(duì)此此類安全風(fēng)險(xiǎn),謹(jǐn)慎打開RAR文件、使用殺毒軟件進(jìn)行掃描是一個(gè)良好的安全習(xí)慣。2023年8月2日,官方在最新發(fā)布的WinRAR 6.23版本中已修復(fù)了此漏洞,建議WinRAR用戶立即進(jìn)行安全更新。值得注意的是,微軟目前正在測(cè)試Windows 11對(duì)RAR、7-Zip等文件的原生支持,此后若是對(duì)其高級(jí)功能沒有需求,將有可能不再需要WinRAR等第三方軟件。
日本鐘表制造商精工 (Seiko) 遭BlackCat勒索軟件攻擊
精工(Seiko)是世界上最大、歷史最悠久的制表商之一,成立于1975年,總部位于日本東京,擁有超過12,000名員工,截至 2023年3月,年利潤為8.2497 億美元,年收入超過16億美元。2023年8月10日,該公司發(fā)布了一份數(shù)據(jù)泄露通知,通知未經(jīng)授權(quán)的第三方獲得了對(duì)其IT基礎(chǔ)設(shè)施的至少一部分的訪問權(quán)限,并訪問或竊取了數(shù)據(jù)。目前還沒有關(guān)于勒索贖金數(shù)額、支付、談判相關(guān)的消息。Seiko的聲明中寫道:“似乎[2023年7月28日]一些身份不明的團(tuán)體獲得了對(duì)我們至少一臺(tái)服務(wù)器的未經(jīng)授權(quán)的訪問?!盉lackCat聲稱對(duì)攻擊負(fù)責(zé),BlackCat勒索軟件組織聲稱是Seiko攻擊的幕后黑手,并發(fā)布了他們聲稱在攻擊期間竊取的數(shù)據(jù)樣本。在列表中,威脅行為者嘲笑Seiko的IT安全性,并泄露了看似生產(chǎn)計(jì)劃、員工護(hù)照掃描、新型號(hào)發(fā)布計(jì)劃和專門實(shí)驗(yàn)室測(cè)試結(jié)果的內(nèi)容。最令人擔(dān)憂的是,威脅行為者泄露了他們聲稱的機(jī)密技術(shù)原理圖和精工手表設(shè)計(jì)的樣本。
日本的組織正面臨越來越多的勒索軟件攻擊。制藥公司衛(wèi)材(Eisai)和拉鏈制造商YKK等日本主要公司在過去三個(gè)月中都曾處理過勒索軟件事件。上個(gè)月名古屋港(日本最大的港口之一)遭受的攻擊凸顯了勒索軟件事件的連鎖危險(xiǎn)。近幾個(gè)月來,BlackCat將從多家公司竊取的機(jī)密數(shù)據(jù)發(fā)布到其受害者門戶網(wǎng)站,其中包括5月份從愛爾蘭蒙斯特大學(xué)竊取的6GB數(shù)據(jù)。6月,巴特健康NHS信托基金 (Bart's Health NHS Trust) 也出現(xiàn)了。該團(tuán)伙聲稱已從該醫(yī)療組織盜取了70 TB 的數(shù)據(jù)。
網(wǎng)絡(luò)攻擊迫使天文望遠(yuǎn)鏡停運(yùn)數(shù)周,全球天文科研遭受沉重打擊
美國國家光學(xué)紅外天文研究實(shí)驗(yàn)室(NOIRLab)是美國國家科學(xué)基金會(huì)運(yùn)營的地基天文學(xué)協(xié)調(diào)中心。8月1日,該實(shí)驗(yàn)室發(fā)布新聞公告,首次宣布檢測(cè)到其位于夏威夷希羅的北雙子座天文望遠(yuǎn)鏡遭到明顯的網(wǎng)絡(luò)攻擊,可能給這臺(tái)儀器帶來物理危險(xiǎn)。該實(shí)驗(yàn)室在公告中寫道:“我們的網(wǎng)絡(luò)安全團(tuán)隊(duì)和觀測(cè)團(tuán)隊(duì)快速反應(yīng),阻止天文臺(tái)受損。”作為對(duì)這一事件的回應(yīng),該實(shí)驗(yàn)室停止了國際雙子座天文臺(tái)的一切運(yùn)營。這家天文臺(tái)負(fù)責(zé)運(yùn)行位于夏威夷希羅的北雙子座天文望遠(yuǎn)鏡和位于智利帕穹山的南雙子座天文望遠(yuǎn)鏡。這兩臺(tái)直徑8.1米的天然望遠(yuǎn)鏡一起揭示了從超新星誕生到距離地球最近的黑洞等大量天體奇觀。此次關(guān)閉已經(jīng)讓他錯(cuò)過了今年的七個(gè)觀測(cè)窗口中的三個(gè),如果天文望遠(yuǎn)鏡無法恢復(fù)運(yùn)行,整個(gè)天文學(xué)界可能遭到 “毀滅性打擊”。目前,南雙子座天文望遠(yuǎn)鏡裝有一只獨(dú)特的光譜儀,可以表征遙遠(yuǎn)行星的大氣。根據(jù)計(jì)劃,這只儀器將于2024年5月轉(zhuǎn)移到北半球一座較小的天文望遠(yuǎn)鏡上。如果南雙子座天文望遠(yuǎn)鏡不盡快重新啟動(dòng),且儀器轉(zhuǎn)移如期進(jìn)行,可以預(yù)見天文學(xué)家將失去獲得南天球?qū)氋F光譜數(shù)據(jù)的機(jī)會(huì)。
網(wǎng)絡(luò)安全專家對(duì)北雙子座天文望遠(yuǎn)鏡成為目標(biāo)感到困惑。美國國家科學(xué)基金會(huì)網(wǎng)絡(luò)安全卓越中心前主任Von Welch說,“攻擊者很可能壓根不知道他們攻擊的是一座天文臺(tái)?!?/span>這一事件再次為天文學(xué)界敲響了警鐘。2022年11月,位于智利的阿塔卡馬大型毫米波列射電望遠(yuǎn)鏡因?yàn)榫W(wǎng)絡(luò)攻擊也暫停運(yùn)行了近兩個(gè)月。NOIRLab等國際研究機(jī)構(gòu)面臨著獨(dú)特的安全挑戰(zhàn),獨(dú)立的私營公司或銀行可以輕易地隔離自己的系統(tǒng)。相反,天文學(xué)研究的性質(zhì)是開放獲取和團(tuán)隊(duì)協(xié)作。“最好的做法是將所有東西都隔離起來。但是,這樣就打破了所有的科學(xué)工作流程。”