首頁 > 安全研究 > 安全通報 > 安全簡訊

研究人員披露AWS中利用AppSync的跨租戶漏洞的詳情

發布時間 2022-11-30
1、研究人員披露AWS中利用AppSync的跨租戶漏洞的詳情

據11月28日報道,研究人員披露了Amazon Web Services中的跨租戶漏洞,攻擊者可以利用該漏洞獲得對資源未經授權的訪問。該漏洞與混淆代理問題有關,是一種提權漏洞。這種攻擊利用了AppSync服務來承擔其他AWS賬戶中的IAM角色,這使得攻擊者能夠進入到目標組織中并訪問這些賬戶中的資源。研究人員于2022年9月1日報告了該問題,AWS于9月6日修復了該漏洞。

https://thehackernews.com/2022/11/researchers-detail-appsync-cross-tenant.html

2、Checkmarx發現利用TikTok挑戰來分發惡意軟件的活動

Checkmarx在11月28日稱其發現了利用TikTok“隱形挑戰”分發惡意軟件的活動。該挑戰要求用戶使用TikTok的“身體隱形”濾鏡拍攝裸體,該濾鏡會從視頻中移除身體部分并用模糊背景取代。攻擊者制作了TikTok視頻,聲稱可以提供一種特殊的過濾器,消除TikTok的“身體隱形”效果。然而,該軟件會安裝WASP Stealer,它能夠竊取存儲在瀏覽器、加密貨幣錢包中的Discord帳戶、密碼和信用卡,甚至是目標計算機中的文件。

https://checkmarx.com/blog/attacker-uses-a-popular-tiktok-challenge-to-lure-users-into-installing-malicious-package/

3、BianLian團伙發布從加拿大Harry Rosen竊取的1GB數據

據媒體11月25日報道,加拿大男裝連鎖店Harry Rosen遭到了網絡攻擊。該公司尚未透露攻擊類型,以及是否影響了公司的運營。BianLian聲稱對此次攻擊負責,并發布了一個1 GB的文件作為攻擊的證據,其中包括Harry Rosen的Gold+客戶列表、銷售信息和各種其它類型的文件。BianLian于8月份首次被發現,勒索軟件是用Go語言為Windows系統開發的,其初始訪問可能是通過Windows ProxyShell漏洞或SonicWall VPN固件漏洞獲得的。

https://www.itworldcanada.com/article/canadian-menswear-chain-harry-rosen-confirms-cyber-attack/515325

4、假冒的SMS應用Symoo充當帳戶創建服務的SMS中繼

媒體11月28日稱,在Google Play商店中100000次下載量的假冒Android SMS應用,秘密地充當Microsoft、Google、Instagram、Telegram和Facebook等網站的帳戶創建服務的SMS中繼。研究人員表示,被感染的設備隨后會作為“虛擬號碼”出租,用于在創建新賬戶時轉發驗證用戶的一次性密碼。雖然未經證實,但據信Symoo應用用于接收和轉發使用ActivationPW創建帳戶時生成的OTP驗證碼。目前,該應用仍在Google Play上可用。

https://www.bleepingcomputer.com/news/security/malicious-android-app-found-powering-account-creation-service/

5、Group-IB發現多起針對2022年FIFA世界杯的釣魚活動

11月29日,Group-IB透露其發現多起針對卡塔爾2022年FIFA世界杯門票、官方商品和工作的詐騙和釣魚攻擊。研究人員在卡塔爾2022年官方球迷ID門戶網站Hayya上發現了90多個可能遭到入侵的賬戶,這是為世界杯觀眾建立的強制性系統,可以進入卡塔爾并獲得門票和交通等服務。據調查,攻擊者利用RedLine和Erbium等信息竊取惡意軟件獲得了這些賬戶的密碼。此外,Group-IB還確定了4種不同的詐騙和釣魚攻擊浪潮,以及大量可從Google Play商店下載的虛假應用。

https://www.group-ib.com/media-center/press-releases/scammers-on-the-pitch/

6、Kaspersky發布2023年關于消費者的威脅的預測報告

11月28日,Kaspersky發布了2023年關于消費者的威脅的預測報告。報告指出,在游戲和流媒體服務方面,用戶將面臨更多的游戲訂閱欺詐、游戲機的短缺將被利用、攻擊者將需要游戲中的虛擬貨幣、攻擊者會利用期待已久的游戲,以及流媒體仍將是攻擊者取之不盡的收入來源;在社交媒體和元宇宙方面,新的社交媒體將帶來更多的隱私風險和元宇宙的開發帶來的風險;來自心理健康應用程序的數據將用于精確定位的社會工程攻擊;以及,在線教育平臺將吸引更多犯罪活動等。

https://securelist.com/consumer-threats-2023/108112/
上一篇 下一篇