[1]俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击-小百科

小百科,大世界
1. 俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击 11月14日，近日一个名为CVE-2024-43451的新安全漏洞影响了Windows NT LAN管理器（NTLM），该漏洞被疑似与俄罗斯有关的行为者利用为零日漏洞，对乌克兰发动网络攻击。此漏洞被命名为NTLM哈希泄露欺骗漏洞，CVSS评分为6.5，可被用来窃取用户的NTLMv2哈希。微软已及时修补了该漏洞，并指出用户与恶意文件进行最小交互都可能触发漏洞。以色列网络安全公司ClearSky发现，该漏洞已被用于传播开源Spark RAT恶意软件的攻击链中，恶意文件托管在乌克兰政府官方网站上。攻击链涉及发送网络钓鱼电子邮件，提示收件人点击陷阱URL下载包含恶意.URL文件的ZIP存档。当受害者与URL文件交互时，就会触发漏洞，导致下载其他有效负载，包括Spark RAT。乌克兰计算机应急反应小组(CERT-UA)将此活动与可能的俄罗斯威胁行为者UAC-0194联系起来，并警告称，企业与远程银行系统协作的会计处于高风险区，资金可能在短时间内被盗。 /2024/11/russian-hackers-exploit-new-ntlm-flaw.html 2. 哈马斯关联网络组织WIRTE针对以色列实施破坏性攻击 11月13日，据The Hack News报道，与哈马斯有关联的网络攻击者近期专门针对以色列实体进行破坏性攻击。Check Point的分析指出，这些攻击与一个名为WIRTE的组织有关，该组织自2018年8月以来一直活跃于中东地区，针对广泛实体发动攻击。WIRTE利用中东的地缘政治紧张局势和战乱，制作恶意RAR文档部署Havoc后期开发框架，或利用类似的RAR文档部署IronWind下载器。这些感染序列通过传播带有欺骗性的PDF文档，使用合法的可执行文件侧载带有恶意软件的DLL。在2024年10月针对以色列医院和市政当局等多个组织的网络钓鱼活动中，甚至出现了冒充网络安全公司ESET在以色列合作商发出的钓鱼电子邮件，其中包含了新版本的SameCoin Wiper，该版本除了覆盖文件外，还会修改受害者系统背景显示哈马斯军事分支Al-Qassam Brigades的图像。据称，该攻击组织的Windows加载程序样本时间戳被更改为哈马斯对以色列发动突然攻势的日期，而初始访问媒介则是冒充以色列国家网络局的电子邮件。 /2024/11/hamas-affiliated-wirte-employs-samecoin.html 3. Glove Stealer恶意软件：可绕过Chrome App-Bound加密窃取Cookie 11月14日，Glove Stealer 是一款新的恶意软件，能够绕过 Google Chrome 的 App-Bound 加密，窃取浏览器 cookie。该恶意软件由 Gen Digital 安全研究人员在调查网络钓鱼活动时首次发现，他们认为它相对简单，可能处于早期开发阶段。Glove Stealer 使用社会工程策略诱骗潜在受害者安装，可以从 Firefox 和基于 Chromium 的浏览器（如 Chrome、Edge 等）中提取 cookie，以及窃取浏览器扩展程序中的加密货币钱包、2FA 会话令牌、密码数据等敏感信息。此外，它还能从 280 个浏览器扩展和 80 多个本地应用程序中窃取数据。为了绕过 Chrome 的 App-Bound 加密，Glove Stealer 使用了一个支持模块，利用 Chrome 的 IElevator Windows 服务来解密和检索加密密钥，但需要先获得本地管理员权限。尽管这种方法在技术上相对基础，但多个信息窃取恶意软件操作已经能够绕过新的安全功能，以窃取和解密 Google Chrome cookie。自谷歌 7 月份实施 App-Bound 加密以来，攻击次数并未减少，反而有所增加，通过各种方式瞄准潜在受害者。 /news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/ 4. 瑞士网络机构警示：假气象邮件传播恶意软件盗取敏感信息 11月15日，瑞士联邦网络安全局（OFCS）13日发出警告，称该国气象机构的“假信件”被用来传播恶意软件。这些邮件声称提供一款新天气应用程序MeteoSwiss，但包含一个二维码，会重定向到欺诈者开发的恶意应用程序。扫描二维码后，手机用户会下载名为“Coper”和“Octo2”的恶意软件，该程序试图窃取包括电子银行应用程序在内的383多个移动应用程序的登录详细信息。虽然使用现实世界的诱饵来感染恶意软件的情况并不常见，但并非闻所未闻，微软此前也曾遭遇类似事件。OFCS没有透露受影响的人数，但表示假冒应用程序模仿了真正的“Alertswiss”应用程序，仅影响安卓手机。建议安装了假冒应用程序的用户将设备恢复出厂设置，并报告给OFCS。该机构已经开始实施保护措施。 https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency 5. 匈牙利国防采购机构遭国际黑客组织攻击 11月15日，匈牙利国防采购机构（VBü）近日遭到名为INC Ransomware或INC Ransom的国际网络犯罪组织的攻击。该组织声称可以访问VBü的数据，并在暗网门户网站上发布了示例截图。匈牙利国防部拒绝透露可能的信息泄露情况，但确认调查正在进行中，并强调VBü不存储敏感的军事数据。然而，总理维克托·欧尔班的幕僚长将此次袭击归咎于敌对的外国非国家黑客组织，指出可能被访问的最敏感数据包括有关军事采购的计划和数据。据报道，黑客入侵了该机构的服务器，下载并加密了所有文件，并发布了包含匈牙利军队空中和陆地能力数据的文件截图，以及标有“非公开”的文件，并索要500万美元赎金。匈牙利官员未就是否与黑客谈判发表评论。 https://therecord.media/hungary-defense-procurement-agency-hacked 6. Microsoft Power Pages配置错误致700万条记录暴露 11月14日，研究人员发现，Microsoft Power Pages这一低代码工具存在多个配置错误实现的问题，可能导致机密数据被无意访问。Power Pages被广泛应用于政府、教育和私人组织等领域，但在一些安装中，配置错误导致约700万条记录暴露。问题源于用户对配置的理解不足，而非微软产品本身的问题。微软在潜在配置问题时会发出警告，但无法确保用户作出反应。现代技术使得门户构建相对容易，但安全性和维护仍然复杂，导致实施和维护之间不匹配，超出相关公司能力范围的初始或新出现的错误配置。开发团队和安全团队之间的孤立关系也加剧了这一问题。AppOmni发现的问题已向受影响公司报告并得到修复，但持续存在的错误配置问题仍需解决。现代低代码技术使得缺乏专业知识的用户能够开发复杂的解决方案，因此问题可能会持续存在。AppOmni建议使用能够检测错误配置的系统进行持续监控。 /low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/ [来源: 启明星辰]
首页 / 计算机 / IT资讯

1. 俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击

11月14日，近日一个名为CVE-2024-43451的新安全漏洞影响了Windows NT LAN管理器（NTLM），该漏洞被疑似与俄罗斯有关的行为者利用为零日漏洞，对乌克兰发动网络攻击。此漏洞被命名为NTLM哈希泄露欺骗漏洞，CVSS评分为6.5，可被用来窃取用户的NTLMv2哈希。微软已及时修补了该漏洞，并指出用户与恶意文件进行最小交互都可能触发漏洞。以色列网络安全公司ClearSky发现，该漏洞已被用于传播开源Spark RAT恶意软件的攻击链中，恶意文件托管在乌克兰政府官方网站上。攻击链涉及发送网络钓鱼电子邮件，提示收件人点击陷阱URL下载包含恶意.URL文件的ZIP存档。当受害者与URL文件交互时，就会触发漏洞，导致下载其他有效负载，包括Spark RAT。乌克兰计算机应急反应小组(CERT-UA)将此活动与可能的俄罗斯威胁行为者UAC-0194联系起来，并警告称，企业与远程银行系统协作的会计处于高风险区，资金可能在短时间内被盗。

/2024/11/russian-hackers-exploit-new-ntlm-flaw.html

2. 哈马斯关联网络组织WIRTE针对以色列实施破坏性攻击

11月13日，据The Hack News报道，与哈马斯有关联的网络攻击者近期专门针对以色列实体进行破坏性攻击。Check Point的分析指出，这些攻击与一个名为WIRTE的组织有关，该组织自2018年8月以来一直活跃于中东地区，针对广泛实体发动攻击。WIRTE利用中东的地缘政治紧张局势和战乱，制作恶意RAR文档部署Havoc后期开发框架，或利用类似的RAR文档部署IronWind下载器。这些感染序列通过传播带有欺骗性的PDF文档，使用合法的可执行文件侧载带有恶意软件的DLL。在2024年10月针对以色列医院和市政当局等多个组织的网络钓鱼活动中，甚至出现了冒充网络安全公司ESET在以色列合作商发出的钓鱼电子邮件，其中包含了新版本的SameCoin Wiper，该版本除了覆盖文件外，还会修改受害者系统背景显示哈马斯军事分支Al-Qassam Brigades的图像。据称，该攻击组织的Windows加载程序样本时间戳被更改为哈马斯对以色列发动突然攻势的日期，而初始访问媒介则是冒充以色列国家网络局的电子邮件。

/2024/11/hamas-affiliated-wirte-employs-samecoin.html

3. Glove Stealer恶意软件：可绕过Chrome App-Bound加密窃取Cookie

11月14日，Glove Stealer 是一款新的恶意软件，能够绕过 Google Chrome 的 App-Bound 加密，窃取浏览器 cookie。该恶意软件由 Gen Digital 安全研究人员在调查网络钓鱼活动时首次发现，他们认为它相对简单，可能处于早期开发阶段。Glove Stealer 使用社会工程策略诱骗潜在受害者安装，可以从 Firefox 和基于 Chromium 的浏览器（如 Chrome、Edge 等）中提取 cookie，以及窃取浏览器扩展程序中的加密货币钱包、2FA 会话令牌、密码数据等敏感信息。此外，它还能从 280 个浏览器扩展和 80 多个本地应用程序中窃取数据。为了绕过 Chrome 的 App-Bound 加密，Glove Stealer 使用了一个支持模块，利用 Chrome 的 IElevator Windows 服务来解密和检索加密密钥，但需要先获得本地管理员权限。尽管这种方法在技术上相对基础，但多个信息窃取恶意软件操作已经能够绕过新的安全功能，以窃取和解密 Google Chrome cookie。自谷歌 7 月份实施 App-Bound 加密以来，攻击次数并未减少，反而有所增加，通过各种方式瞄准潜在受害者。

/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/

4. 瑞士网络机构警示：假气象邮件传播恶意软件盗取敏感信息

11月15日，瑞士联邦网络安全局（OFCS）13日发出警告，称该国气象机构的“假信件”被用来传播恶意软件。这些邮件声称提供一款新天气应用程序MeteoSwiss，但包含一个二维码，会重定向到欺诈者开发的恶意应用程序。扫描二维码后，手机用户会下载名为“Coper”和“Octo2”的恶意软件，该程序试图窃取包括电子银行应用程序在内的383多个移动应用程序的登录详细信息。虽然使用现实世界的诱饵来感染恶意软件的情况并不常见，但并非闻所未闻，微软此前也曾遭遇类似事件。OFCS没有透露受影响的人数，但表示假冒应用程序模仿了真正的“Alertswiss”应用程序，仅影响安卓手机。建议安装了假冒应用程序的用户将设备恢复出厂设置，并报告给OFCS。该机构已经开始实施保护措施。

https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency

5. 匈牙利国防采购机构遭国际黑客组织攻击

11月15日，匈牙利国防采购机构（VBü）近日遭到名为INC Ransomware或INC Ransom的国际网络犯罪组织的攻击。该组织声称可以访问VBü的数据，并在暗网门户网站上发布了示例截图。匈牙利国防部拒绝透露可能的信息泄露情况，但确认调查正在进行中，并强调VBü不存储敏感的军事数据。然而，总理维克托·欧尔班的幕僚长将此次袭击归咎于敌对的外国非国家黑客组织，指出可能被访问的最敏感数据包括有关军事采购的计划和数据。据报道，黑客入侵了该机构的服务器，下载并加密了所有文件，并发布了包含匈牙利军队空中和陆地能力数据的文件截图，以及标有“非公开”的文件，并索要500万美元赎金。匈牙利官员未就是否与黑客谈判发表评论。

https://therecord.media/hungary-defense-procurement-agency-hacked

6. Microsoft Power Pages配置错误致700万条记录暴露

11月14日，研究人员发现，Microsoft Power Pages这一低代码工具存在多个配置错误实现的问题，可能导致机密数据被无意访问。Power Pages被广泛应用于政府、教育和私人组织等领域，但在一些安装中，配置错误导致约700万条记录暴露。问题源于用户对配置的理解不足，而非微软产品本身的问题。微软在潜在配置问题时会发出警告，但无法确保用户作出反应。现代技术使得门户构建相对容易，但安全性和维护仍然复杂，导致实施和维护之间不匹配，超出相关公司能力范围的初始或新出现的错误配置。开发团队和安全团队之间的孤立关系也加剧了这一问题。AppOmni发现的问题已向受影响公司报告并得到修复，但持续存在的错误配置问题仍需解决。现代低代码技术使得缺乏专业知识的用户能够开发复杂的解决方案，因此问题可能会持续存在。AppOmni建议使用能够检测错误配置的系统进行持续监控。

/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/
[来源: 启明星辰]

[1]俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击 繁體

[1]俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击 ^繁體