首頁 > 安全研究 > 安全通報 > 安全簡訊

Microsoft 宣布在 Windows 中棄用 1024 位 RSA 密鑰

發布時間 2024-03-20
1. Microsoft 宣布在 Windows 中棄用 1024 位 RSA 密鑰


3月18日,Microsoft 宣布,Windows 傳輸層安全 (TLS) 中將很快棄用短于 2048 位的 RSA 密鑰,以提供更高的安全性。Rivest–Shamir–Adleman (RSA) 是一種非對稱加密系統,它使用一對公鑰和私鑰來加密數據,其強度與密鑰的長度直接相關。這些密鑰越長 ,就越難破解。1024 位 RSA 密鑰的強度約為 80 位,而 2048 位密鑰的強度約為 112 位,這使得后者的分解時間長了 40 億倍。該領域的專家認為 2048 位密鑰 至少在 2030 年之前都是安全的。RSA 密鑰在 Windows 中用于多種用途,包括服務器身份驗證、數據加密和確保通信的完整性。Microsoft 決定將 TLS 服務器身份驗證中使用的證書的 RSA 密鑰最低要求提高到 2048 位或更長,這對于保護組織免受弱加密的影響非常重要。


https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-deprecation-of-1024-bit-rsa-keys-in-windows/


2. 惡意軟件活動濫用 Google 網站來竊取數據 Azorult


3月19日,Netskope 威脅實驗室的安全研究人員曝光了一個復雜的惡意軟件活動,該活動利用 Google 協作平臺的可信度來提供強大的新版本 Azorult 信息竊取程序。該惡意軟件由于其逃避檢測和竊取各種敏感信息的先進能力而構成了重大的網絡安全風險。Azorult 是一個惡意程序,旨在竊取您的私人信息。它的目標是用戶名、密碼、瀏覽歷史記錄,甚至加密貨幣錢包數據。遺憾的是,Azorult 盜竊案件呈上升趨勢,尤其是在醫療保健行業。Azorult 被認為是過去一年中攻擊醫療保健行業的頂級惡意軟件家族之一。然而,其最近的活動將其邪惡活動推向了新的高度,采用多方面的方法來傳遞其有效負載,同時逃避檢測。攻擊的初始階段涉及HTML 走私,這種技術在網絡攻擊者中越來越流行。此方法通過使用合法的 HTML5 功能和 Javascript 直接在客戶端構建惡意負載,巧妙地繞過Web 控制。巧妙的是,該活動并未將有效負載嵌入到 Javascript 本身中,而是嵌入到外部托管的單獨 JSON 文件中,從而增加了額外的隱秘層。


https://securityonline.info/sneaky-malware-campaign-abuses-google-sites-to-deliver-data-stealing-azorult/


3. 針對烏克蘭的新 Linux 惡意軟件變種AcidPour


3月19日,SentinelLabs 的研究人員發現了酸雨惡意軟件的一種新變種,稱為“Acid Pour”,已在烏克蘭出現。這一發現是在周末由 SentinelLabs 的副總裁 JA Guerrero-Saade 通過 X(以前的 Twitter)分享的見解得出的。最初的 AcidRain 惡意軟件于 2022 年 3 月出現,特別是在“Viasat 黑客攻擊”期間使用,該黑客攻擊在俄羅斯入侵烏克蘭開始時中斷了 KA-SAT Surfbeam2 調制解調器。SentinelLabs 的首席威脅研究員TomHegel發現了專為 Linux x86 設備編譯的新變體。雖然 AcidPour 與 AcidRain 在某些字符串中具有相似之處,但它在代碼庫中存在顯著差異,代碼庫是針對 x86 架構而不是 MIPS 編譯的。值得注意的是,適用于 x86 設備的流行 Linux 發行版包括 Ubuntu、Mint、Fedora 和 Debian。另一方面,MIPS(無互鎖流水線階段的微處理器)是一種指令集架構(ISA),它本質上定義了處理器理解并用于執行指令的語言。與 x86 類似,它是一組關于處理器如何運行的規則和規范。


https://www.hackread.com/acidrain-linux-malware-variant-acidpour-ukraine/#google_vignette


4. 新的 DEEP#GOSU 惡意軟件活動利用高級策略瞄準 Windows 用戶


3月18日,該攻擊活動利用 PowerShell 和 VBScript 惡意軟件來感染 Windows 系統并獲取敏感信息。網絡安全公司 Securonix 將該活動稱為“DEEP#GOSU”,表示該活動可能與朝鮮國家支持的名為Kimsuky的組織有關。DEEP#GOSU中使用的惡意軟件有效負載代表了一種復雜的多階段威脅,旨在在 Windows 系統上秘密運行,尤其是從網絡監控的角度來看。它的功能包括鍵盤記錄、剪貼板監控、動態有效負載執行和數據泄露,以及使用 RAT 軟件進行完全遠程訪問、計劃任務以及使用作業自動執行 PowerShell 腳本的持久性。感染過程的一個值得注意的方面是,它利用 Dropbox 或 Google Docs 等合法服務進行命令和控制 (C2),從而允許威脅行為者在未檢測到的情況下融入常規網絡流量。


https://thehackernews.com/2024/03/new-deepgosu-malware-campaign-targets.html


5. 黑客在網絡攻擊中使用武器化 SVG 文件


3月18日,網絡犯罪分子重新利用可擴展矢量圖形 (SVG) 文件來傳播惡意軟件,這種技術隨著 AutoSmuggle 工具的出現而得到了顯著發展。AutoSmuggle 于 2022 年 5 月推出,有助于在 HTML 或 SVG 內容中嵌入惡意文件,使攻擊者更容易繞過安全措施。濫用 SVG 文件傳播惡意軟件的情況可以追溯到 2015 年,勒索軟件是最先通過此媒介傳播的勒索軟件之一。2017 年 1 月,SVG 文件被用來通過 URL 下載 Ursnif 惡意軟件。2022 年發生了重大飛躍,當時 SVG 通過嵌入式 .zip 存檔傳播QakBot等惡意軟件,展示了從外部下載到 HTML 走私技術的轉變。2022 年 AutoSmuggle 在 GitHub 上的發布標志著一個轉折點。該工具將可執行文件或存檔嵌入到 SVG/HTML 文件中,然后在受害者打開時解密并執行。此方法巧妙地避開了通常會檢測和隔離直接電子郵件附件的安全電子郵件網關(SEG)。


https://gbhackers.com/hackers-using-weaponized-svg-files-in-cyber-attacks/


6. Nissan Oceania 已確認去年遭受的數據泄露影響約 10 萬人


3月18日,Nissan Oceania 已確認 2023 年 12 月遭受的數據泄露影響了約 10 萬人,并已開始向他們發出通知。,該公司(包括日產汽車公司以及澳大利亞和新西蘭的日產金融服務公司)透露,未經授權的第三方訪問了其本地 IT 服務器并導致停機。該公司指出:“我們立即采取行動遏制違規行為,并及時向相關政府機構發出警報,包括澳大利亞和新西蘭國家網絡安全中心和隱私監管機構?!碑敃r,他們無法確認事件的嚴重程度和類型,但幾周后,Akira 勒索軟件組織聲稱對此次攻擊負責,并泄露了據稱從該公司竊取的數據。該公司隨后敦促客戶留意異?;顒雍涂赡艿脑p騙,同時與政府當局和外部網絡取證專家合作繼續調查。


https://www.helpnetsecurity.com/2024/03/18/nissan-data-breach/

上一篇 下一篇