每日安全简讯(20200806)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 伊朗黑客组织Oilrig在攻击中利用DNS-over-HTTPS协议
一个名为Oilrig的伊朗黑客组织已成为第一个利用DNS-over-HTTPS(DoH)协议进行攻击的APT组织。恶意软件分析师发现今年5月,Oilrig开始使用一种名为DNSExfiltrator的新工具。DNSExfiltrator是在GitHub上的开源项目,它能通过在非标准协议中为传送和隐藏数据创建隐蔽的通信渠道。该工具可以使用传统的DNS请求在两点之间传输数据,但也可以使用更新的DoH协议。Oilrig一直使用DNSExfiltrator在内部网络中横向移动,然后将其数据泄漏到外部。Oilrig最有可能使用DoH作为渗透渠道,以避免在转移被盗数据时受到监视和检测。
https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/
2 勒索软件WastedLocker利用Windows缓存机制逃避检测
研究人员发现,为了绕过反勒索软件解决方案的检测,WastedLocker包含一个程序,该程序打开一个文件,将其读取到Windows缓存管理器中,然后关闭原始文件。WastedLocker将加密存储在缓存中的文件,而不是存储在文件系统中的文件。修改Windows缓存中存储的文件后,Windows缓存管理器会将加密的缓存数据写回到原始文件中。当Windows缓存管理器作为系统进程运行时,安全软件将看到从合法Windows进程中写入加密数据,因此,反勒索软件中的行为检测将看到一个合法的进程写入加密数据,而不会检测出异常。该方法有效地绕过了安全解决方案的勒索软件防护模块,并允许WastedLocker加密所有文件。
https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/
3 勒索软件Lockbit的攻击正在影响美国中小型企业
根据国际刑警组织称:勒索软件LockBit的操纵者正积极将美国中小型企业作为攻击目标。LockBit是一项人工操作的勒索软件服务(RaaS)业务,主要项针对企业的私人业务。后来被Microsoft观察到,同时针对医疗保健和关键服务。这种勒索软件的操控者一旦获得受害者网络的立足点,便使用公开的渗透测试工具CrackMapExec进行横向移动。两个月前,LockBit与Maze勒索软件的操控者合作组建卡特尔式联盟,使他们能够在合作过程中共享数据,并交换战术和情报。国际刑警组织建议遭受勒索软件攻击的企业需要保持软件和硬件的更新,并使用离线存储备份数据,以阻止勒索软件操纵者访问和加密这些数据。
https://www.bleepingcomputer.com/news/security/interpol-lockbit-ransomware-attacks-affecting-american-smbs/
4 研究人员从飞利浦睡眠管家软件中发现了漏洞
安全研究专家从飞利浦睡眠管家软件中发现了一个漏洞,睡眠管家是用于监视和管理睡眠呼吸暂停的移动应用程序。该应用程序不用于为患者提供治疗,因此利用此漏洞不会使患者的生命安全受到威胁,但是可以利用此漏洞来访问日志文件、从日志文件中的信息中获取指导以及插入其他数据。该漏洞影响2.24版本和该软件的早期版本,并且被跟踪为CVE-2020-14518。CISA建议采取一系列防御措施,以减少利用该漏洞的风险。这些措施包括实施物理安全措施以限制对关键系统的访问;使用最小特权原则,仅对授权人员进行访问;禁用不必要的帐户和服务以及应用纵深防御方法。
https://www.hipaajournal.com/vulnerability-identified-in-philips-dreammapper-software/
5 Maze勒索软件团伙泄露LG和Xerox共计76G数据
Maze勒索软件的操纵者经过两次失败的勒索尝试后,今天从国际商业巨头LG和Xerox网络发布了数十GB的内部数据。黑客泄露了他们声称的从LG内部网络中窃取的50.2 GB数据和Xerox的25.8 GB数据。根据上个月Maze团伙共享的屏幕截图,数据似乎包含各种LG产品(例如手机和笔记本电脑)的克隆源固件的源代码。
https://www.zdnet.com/article/ransomware-gang-publishes-tens-of-gbs-of-internal-data-from-lg-and-xerox/
6 英国牙医专业协会BDA的病历记录和银行资料被盗
BDA是英国牙医的专业协会和注册工会组织。自攻击以来,BDA的网站已离线。它敦促会员对事件发生后声称来自银行的任何信件保持谨慎。该组织正在与那些认为数据已泄露的人员联系。BDA称:“由于这些罪犯的复杂程度,我们目前仍无法确认已获取的全部信息。”安全事件发生后,该协会正在努力恢复其网络通信。
https://www.bbc.com/news/technology-53652254
页:
[1]