韩国区块链平台GDAC遭到重大黑客攻击,近1390万美元被盗
![]()
Tag:GDAC,韩国,加密货币
事件概述:
近日,韩国加密货币交易所 GDAC 遭受了一次黑客攻击,导致该交易所的用户在交易中损失了大量加密货币,近1390美元价值的加密货币被盗。据报道称黑客攻击始于4月7日,攻击者入侵了 GDAC 交易所的安全系统,窃取了该平台的一定数量的比特币、以太坊和其他数字货币。该交易所在发现攻击后立即停止交易,并进行了紧急维护。GDAC 表示他们正在积极调查事件,并与当局展开合作,以尽快恢复平台的正常运营。同时,GDAC 也建议其用户立即更改交易所和其他在线账户的密码,并加强账户安全措施。截至目前,关于此次黑客攻击的具体细节尚未公开,但可以肯定的是,攻击者利用了 GDAC 交易所的一些漏洞或安全弱点,进入了该平台的系统,这可能包括利用密码猜测、钓鱼攻击、恶意软件等手段。
来源:
https://www.hackread.com/south-korea-exchange-gdac-hack-crypto/
以色列关键基础设施遭到新一轮网络攻击
![]()
Tag:以色列,基础设施
事件详情:
来源:
https://www.hackread.com/israel-cyberattacks-hit-critical-infrastructure/
Nexx 智能设备被曝存在多个漏洞
![]()
Tag:Nexx,安全漏洞
Nexx 智能设备是一系列智能家居产品,旨在使家庭更加智能化和便利。近日,研究人员在 Nexx 智能设备中发现多个漏洞,攻击者可以利用这些漏洞访问敏感信息、执行 API 请求或劫持他们的设备,控制车库门、禁用家庭警报器或智能插头。这些漏洞影响运行 nxg200v-p3-4-1 或更早版本的 Nexx 车库门控制器 NXG-100B 和 NGX-200,运行 nxpg100cv4-0-0 及更早版本的 Nexx 智能插头 NXPG-100W,以及Nexx 智能警报 NXAL-100 运行版本 nxal100v-p1-9-1 及更早版本。漏洞信息如下:
CVE-2023-1748:在上述设备中使用硬编码凭据,允许任何人访问 MQ 遥测服务器并远程控制任何客户的设备。
CVE-2023-1749:对发送到有效设备 ID 的 API 请求的访问控制不当。
CVE-2023-1750:不正确的访问控制允许攻击者检索设备历史记录、信息并更改其设置。
CVE-2023-1751:输入验证不当,未能将授权标头中的令牌与设备 ID 相关联。
CVE-2023-1752:不正确的身份验证控制允许任何用户使用其 MAC 地址注册已注册的 Nexx 设备。
与此同时,为了在供应商提供修复补丁之前降低这些攻击的风险,建议禁用 Nexx 设备的互联网连接,将它们置于防火墙之后,并将它们与关键任务网络隔离开来。如果需要远程访问或控制 Nexx 设备,建议通过加密数据传输的 VPN(虚拟专用网络)连接进行。
来源:
https://www.bleepingcomputer.com/news/security/hackers-can-open-nexx-garage-doors-remotely-and-theres-no-fix/
一周后对抗升级,“银狐”又现新手法
![]()
Tag:黑产,银狐
事件概述:
在微步披露专攻金融等行业的黑产组织“银狐”四大绕过手法后,仅一周时间,微步 OneSEC 又发现“银狐”的攻击手法已经改头换面,彻底变样。“银狐”新的投递手法是伪装成正常程序安装包,通过搜索引擎推广来诱导用户下载安装。同时微步发现,在安装环节,银狐所使用的新攻击手法,再次绕过了大部分的终端杀软和EDR。新手法如下:
鱼目混珠:利用合法签名重打包样本程序 ,重打包安装包,并使用国外厂商合法签名,有效降低杀软查杀率。执行后释放真正安装程序实现正常安装掩人耳目,后台执行真正恶意代码以实现远控能力。
金蝉脱壳:加密 dll 释放恶意文件并在内存执行,释放加密的dll有效绕过了杀软检测,然后通过内存动态加载并执行解密后的 dll,避免杀软的主防和大部分的 EDR 产品。
恶意样本除了连接远控等待接收攻击者指令外,还会采集用户终端上的各种信息,执行更多的操作:如恶意程序会删除用户电脑中浏览器保存的凭证等。因此,提醒中招的用户,在清理银狐后门后,要及时调整重要系统的用户名密码。
来源:
https://mp.weixin.qq.com/s/Hw8VDT1SLg0s_0cGXlw3Pw
伊朗威胁组织以勒索软件作为幌子针对混合环境进行破坏性攻击
![]()
Tag:MuddyWater,伊朗,APT
事件概述:
近日,外媒报道称伊朗背景威胁组织 MuddyWater 组织与 DEV-1084 组织同时针对本地和云基础设施,合作实施间谍攻击,在 MuddyWater 组织入侵目标环境后,DEV-1084 组织实施破坏性行动。虽然威胁组织试图将该活动伪装成标准的勒索软件活动,但不可恢复的行为表明破坏是该行动的最终目标。
技术手法:
MuddyWater 组织可能利用未打补丁的应用程序中的已知漏洞进行初始访问,通过 Exchange Web 服务获得了对电子邮件收件箱的完全访问权限,并使用它执行“数千次搜索活动”并冒充一名未署名的高级员工向内部和外部收件人发送消息。随后,DEV-1084 获得访问权限后执行广泛的侦察和发现、建立持久性并在整个网络中横向移动,通常等待数周甚至数月进入下一阶段。最终,威胁组织利用高特权受损凭据,对本地设备进行加密并大规模删除云资源,包括服务器、虚拟机、存储账户和虚拟网络。
组织关联的证据:
DEV-1084 从 146.70.106.89 发送威胁性电子邮件,该 IP 地址之前与 MuddyWater 相关联。
DEV-1084 使用 MULLVAD VPN,这是 MuddyWater 组织过去使用的同一 VPN 提供商。
DEV-1084 使用了 Rport 和定制版的 Ligolo。在之前的攻击中,MuddyWater 组织曾使用 Rport 和类似版本的 Ligolo。
在此事件中,DEV-1084 使用 vatacloud.com 作为行命令和控制 (C2),微软高度自信地评估 vatacloud .com域由 MuddyWater 运营商控制。
来源:
https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/
0day 速修!瑞友天翼应用虚拟化系统远程代码执行漏洞
![]()
Tag:远程代码执行漏洞,0day
事件概述:
近日,微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。经过微步在线漏洞团队分析与研判,该漏洞利用难度低,可以直接远程代码执行,影响范围较大且覆盖多个行业,建议尽快修复。更多内容查看“0day 速修!瑞友天翼应用虚拟化系统远程代码执行漏洞”。
来源:
https://mp.weixin.qq.com/s/zeH6p5lFQ4kzu5HpfTpXog
2023年4月6日
中国台湾科技公司 MSI 被 Money Message 勒索近400万美元
外媒报道称中国台湾的微星科技(MSI)遭到了一次来自 Money Message 勒索软件的攻击,攻击者声称已窃取了1.5TB的数据被勒索 400万美元。这些数据涉及到硬件供应商的 CTMS 和 ERP 数据库、软件源代码、私钥和 BIOS 固件信息。微星科技表示,他们已经启动了信息安全防御机制和恢复程序,并呼吁用户从其官方网站获取固件/BIOS更新,不要使用官方网站以外来源的文件。但是,微星科技并未回应数据泄露信息真实性以及泄露数据的规模。Money Message 是一个已知的勒索软件家族,使用双重勒索针对企业和组织。这种攻击已经成为了当前网络安全威胁中的一个主要趋势,企业和组织需要采取必要的措施来保护自己的数据和系统安全,以应对这种威胁。
来源:
https://www.bleepingcomputer.com/news/security/money-message-ransomware-gang-claims-msi-breach-demands-4-million/?
中国台湾科技公司 MSI 被 Money Message 勒索近400万美元
外媒报道称中国台湾的微星科技(MSI)遭到了一次来自 Money Message 勒索软件的攻击,攻击者声称已窃取了1.5TB的数据被勒索 400万美元。这些数据涉及到硬件供应商的 CTMS 和 ERP 数据库、软件源代码、私钥和 BIOS 固件信息。微星科技表示,他们已经启动了信息安全防御机制和恢复程序,并呼吁用户从其官方网站获取固件/BIOS更新,不要使用官方网站以外来源的文件。但是,微星科技并未回应数据泄露信息真实性以及泄露数据的规模。Money Message 是一个已知的勒索软件家族,使用双重勒索针对企业和组织。这种攻击已经成为了当前网络安全威胁中的一个主要趋势,企业和组织需要采取必要的措施来保护自己的数据和系统安全,以应对这种威胁。
来源:
https://www.bleepingcomputer.com/news/security/money-message-ransomware-gang-claims-msi-breach-demands-4-million/?
中国台湾科技公司 MSI 被 Money Message 勒索近400万美元
外媒报道称中国台湾的微星科技(MSI)遭到了一次来自 Money Message 勒索软件的攻击,攻击者声称已窃取了1.5TB的数据被勒索 400万美元。这些数据涉及到硬件供应商的 CTMS 和 ERP 数据库、软件源代码、私钥和 BIOS 固件信息。微星科技表示,他们已经启动了信息安全防御机制和恢复程序,并呼吁用户从其官方网站获取固件/BIOS更新,不要使用官方网站以外来源的文件。但是,微星科技并未回应数据泄露信息真实性以及泄露数据的规模。Money Message 是一个已知的勒索软件家族,使用双重勒索针对企业和组织。这种攻击已经成为了当前网络安全威胁中的一个主要趋势,企业和组织需要采取必要的措施来保护自己的数据和系统安全,以应对这种威胁。
来源:
https://www.bleepingcomputer.com/news/security/money-message-ransomware-gang-claims-msi-breach-demands-4-million/?
2023年4月8日
Qakbot 恶意软件利用邮件大肆传播
AhnLab安全紧急响应中心 (ASEC) 发现使用电子邮件附加恶意 PDF 文件分发 Qakbot 恶意软件的攻击活动。邮件附件中的PDF文件名是'UT.PDF'、'RA.PDF'、'NM.PDF'是自动生成的随机字符形式,单击打开按钮会链接到恶意 URL,如果该 URL 可访问,则会下载加密的压缩 ZIP 文件,执行后续恶意操作。由于许多恶意电子邮件都以类似的格式分发,因此建议您阅读来源不明的电子邮件时要小心,并将防病毒产品更新到最新版本。
来源:
https://asec.ahnlab.com/ko/51109/
Qakbot 恶意软件利用邮件大肆传播
AhnLab安全紧急响应中心 (ASEC) 发现使用电子邮件附加恶意 PDF 文件分发 Qakbot 恶意软件的攻击活动。邮件附件中的PDF文件名是'UT.PDF'、'RA.PDF'、'NM.PDF'是自动生成的随机字符形式,单击打开按钮会链接到恶意 URL,如果该 URL 可访问,则会下载加密的压缩 ZIP 文件,执行后续恶意操作。由于许多恶意电子邮件都以类似的格式分发,因此建议您阅读来源不明的电子邮件时要小心,并将防病毒产品更新到最新版本。
来源:
https://asec.ahnlab.com/ko/51109/
Qakbot 恶意软件利用邮件大肆传播
AhnLab安全紧急响应中心 (ASEC) 发现使用电子邮件附加恶意 PDF 文件分发 Qakbot 恶意软件的攻击活动。邮件附件中的PDF文件名是'UT.PDF'、'RA.PDF'、'NM.PDF'是自动生成的随机字符形式,单击打开按钮会链接到恶意 URL,如果该 URL 可访问,则会下载加密的压缩 ZIP 文件,执行后续恶意操作。由于许多恶意电子邮件都以类似的格式分发,因此建议您阅读来源不明的电子邮件时要小心,并将防病毒产品更新到最新版本。
来源:
https://asec.ahnlab.com/ko/51109/
Qakbot 恶意软件利用邮件大肆传播
AhnLab安全紧急响应中心 (ASEC) 发现使用电子邮件附加恶意 PDF 文件分发 Qakbot 恶意软件的攻击活动。邮件附件中的PDF文件名是'UT.PDF'、'RA.PDF'、'NM.PDF'是自动生成的随机字符形式,单击打开按钮会链接到恶意 URL,如果该 URL 可访问,则会下载加密的压缩 ZIP 文件,执行后续恶意操作。由于许多恶意电子邮件都以类似的格式分发,因此建议您阅读来源不明的电子邮件时要小心,并将防病毒产品更新到最新版本。
来源:
https://asec.ahnlab.com/ko/51109/
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247501088&idx=1&sn=ef48f2811f944a79c9049eb54a770ff7&chksm=cfcaa634f8bd2f22261776b4083fd56762b09bff2a2cadd4671a1ba6a16614ae09bb6d55fb11#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh