首頁 > 安全研究 > 安全通報 > 安全簡訊

英國軍事數據泄露提醒國防部門存在第三方風險

發布時間 2024-05-10
1. 英國軍事數據泄露提醒國防部門存在第三方風險


5月9日,此次泄露事件暴露了超過 225,000 名英國軍事人員的數據,凸顯了與國防實體外部承包商相關的全球安全風險。此次曝光于本周曝光,源于一名威脅行為者從一家公司獲取了英國陸軍、海軍和皇家空軍現任、前任和預備役成員的姓名、銀行賬戶詳細信息和其他信息為英國國防部 (MoD) 處理薪資服務。BBC和其他英國媒體確認外部承包商為 Shared Services Connected Ltd,并表示被入侵的薪資系統包含多年前的軍事人員信息。英國國防大臣格蘭特·沙普斯在向議會議員發表的評論中指出,這次襲擊是“惡意行為者”所為,很可能得到了民族國家的支持。盡管一些高級政府官員指出中國是最有可能的嫌疑人,但沙普斯本人并沒有將這次襲擊歸咎于任何人的名字。此類違規行為凸顯了外部承包商向想要針對軍事和國防數據和系統的攻擊者提出的脆弱弱點。


https://www.darkreading.com/cyberattacks-data-breaches/breach-of-uk-military-personnel-data-a-reminder-of-third-party-risk-in-defense-sector


2. LOCKBIT 團伙聲稱對威奇托市襲擊事件負責


5月8日,LockBit 勒索軟件組織已將威奇托市添加到其 Tor 泄露站點,并威脅要發布被盜數據。威奇托是美國堪薩斯州人口最多的城市,也是塞奇威克縣的縣城。截至2020年人口普查,該市人口為397,532人。安全漏洞發生于 2024 年 5 月 5 日,市政府立即啟動事件響應程序,以防止威脅蔓延。該市正在第三方安全專家以及聯邦和地方執法機構的幫助下調查并遏制這一事件?!俺鲇诓僮靼踩哪康?,這個[聲稱對此次攻擊負責的組織的名稱不會被共享?!眻蟾嬷赋?。然而,LockBit 勒索軟件團伙聲稱對威奇托市的網絡攻擊負責。支付贖金的截止日期是 2024 年 5 月 15 日。


https://securityaffairs.com/162910/cyber-crime/city-of-wichita-lockbit-ransomware.html


3. 從垃圾郵件到 AsyncRAT,跟蹤非PE網絡威脅的激增


5月8日,AsyncRAT,也稱為“異步遠程訪問木馬”,是一種高度復雜的惡意軟件變體,經過精心設計,旨在破壞計算機系統安全并竊取機密數據。邁克菲實驗室最近發現了一種新型感染鏈,揭示了其強大的殺傷力及其采用的各種安全旁路機制。它利用多種文件類型,例如 PowerShell、Windows 腳本文件 (WSF)、VBScript (VBS) 以及惡意 HTML 文件中的其他文件類型。這種多方面的方法旨在規避防病毒檢測方法并促進感染的傳播。感染是通過包含 HTML 頁面附件的垃圾郵件啟動的。在無意中打開 HTML 頁面時,會自動下載 Windows 腳本文件 (WSF)。該 WSF 文件的命名方式故意暗示訂單 ID,從而營造合法性的假象并誘使用戶執行它。執行 WSF 文件后,感染會自動進行,無需進一步的用戶干預。感染鏈的后續階段包括 Visual Basic 腳本 (VBS)、JavaScript (JS)、批處理 (BAT)、文本 (TXT) 和 PowerShell (PS1) 文件的部署。最終,該鏈最終導致針對 aspnet_compiler.exe 的進程注入。


https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats/


4. 新的幽靈式探路者攻擊針對英特爾 CPU


5月8日,研究人員發現了兩種針對高性能英特爾 CPU 的新穎攻擊方法,可利用這些方法對高級加密標準 (AES) 算法發起密鑰恢復攻擊。這些技術被來自加州大學圣地亞哥分校、普渡大學、北卡羅來納大學教堂山分校、佐治亞理工學院和谷歌的一組學者統稱為探路者。Spectre 是一類側通道攻擊的名稱,這些攻擊利用現代 CPU 上的分支預測和推測執行來讀取內存中的特權數據,從而繞過應用程序之間的隔離保護。最新的攻擊方法針對的是分支預測器中稱為路徑歷史寄存器 ( PHR ) 的功能(該功能保留最后采用的分支的記錄),以誘發分支錯誤預測并導致受害者程序執行非預期的代碼路徑,從而無意中暴露其機密數據。具體來說,它引入了新的原語,可以操縱 PHR 以及條件分支預測器 (CBR) 內的預測歷史表 (PHT),以泄漏歷史執行數據并最終觸發 Spectre 式漏洞。在研究中概述的一組演示中,我們發現該方法可以有效地提取秘密 AES 加密密鑰以及在廣泛使用的 libjpeg 圖像庫處理過程中泄露秘密圖像。


https://thehackernews.com/2024/05/new-spectre-style-pathfinder-attack.html


5. 《最終幻想》游戲服務器遭受多次 DDoS 攻擊


5月8日,由于一系列持續的 DDoS 攻擊,大量垃圾流量淹沒了熱門視頻游戲系列《最終幻想》的服務器,本周玩家登錄時遇到了問題?!蹲罱K幻想 14》的首次攻擊從周一開始,持續了超過 24 小時,影響了世界各地的玩家。當時,該游戲的發行商、日本史克威爾艾尼克斯公司表示,正在“調查此次攻擊并采取對策”。然而,周二的攻擊再次發生,周三仍在持續,導致玩家登錄困難,部分歐洲、北美和大洋洲的數據中心無法訪問。Square Enix 尚未將此次攻擊歸咎于任何黑客組織。該公司表示:“隨著情況的發展,將提供更多信息?!碑斢螒蚍掌鞒霈F連接問題或干擾時,通常會出現90002 錯誤。


https://therecord.media/final-fantasy-game-ddos-incident-square-enix


6. 黑客濫用Google搜索廣告傳播MSI打包的惡意軟件


5月8日,人們發現黑客利用Google 搜索廣告通過 MSI(微軟安裝程序)包傳播惡意軟件。該活動涉及名為 FakeBat 的惡意軟件加載程序,通過偽裝成合法軟件下載來瞄準毫無戒心的用戶。攻擊從看似合法的谷歌搜索廣告開始,使用了 Notion 等流行軟件的真實網站地址。然而,這則廣告只是一個幌子,是由一直使用與哈薩克斯坦相關的身份的威脅行為者購買的。據ThreatDown報道,黑客正在使用 Google 搜索廣告來傳播帶有 MSI 的惡意軟件。點擊廣告會進入一個以欺騙性 URL 托管的網絡釣魚網站,與真實網站類似。該網站提示用戶下載MSIX 格式的標準軟件安裝程序,并以看似可信的名稱“Forth View Designs Ltd”簽名。該活動利用點擊跟蹤服務來管理廣告的有效性并過濾掉不需要的流量。


https://gbhackers.com/abuse-google-search-ads/#google_vignette

上一篇 下一篇