首頁 > 安全研究 > 安全通報 > 安全簡訊

微軟發布新指南:強化防御Kerberoasting攻擊

發布時間 2024-10-15

1. 微軟發布新指南:強化防御Kerberoasting攻擊


10月13日,微軟近期發布了新指南,旨在幫助組織有效防御日益嚴重的 Kerberoasting 攻擊,這種攻擊主要針對 Active Directory (AD) 環境。Kerberoasting 利用 Kerberos 身份驗證協議竊取 AD 憑據,使攻擊者能夠廣泛訪問敏感資源。微軟指出,隨著網絡威脅的不斷演變,安全專業人員必須緊跟最新的攻擊媒介和防御機制。由于 GPU 加速密碼破解技術的運用,Kerberoasting 攻擊的有效性正在提升。在 Kerberoasting 攻擊中,攻擊者通過請求并破解使用賬戶密碼哈希加密的服務票證,來獲取賬戶密碼及未經授權的訪問權限。特別是密碼較弱的賬戶和使用較弱加密算法(如即將被棄用的 RC4)的賬戶,更易受到攻擊。微軟計劃在 Windows 11 24H2 和 Windows Server 2025 的未來更新中默認禁用 RC4。為減輕 Kerberoasting 風險,微軟建議采取多項措施,包括利用組托管服務帳戶 (gMSA) 或委托托管服務帳戶 (dMSA)、強制使用強密碼、配置服務帳戶使用 AES 加密,以及審核并刪除不必要的服務主體名稱 (SPN)。此外,微軟還提供了檢測 Kerberoasting 攻擊的指導。


https://securityonline.info/microsoft-issues-guidance-to-combat-rising-kerberoasting-attacks/


2. Water Makara利用新逃避技術針對巴西企業部署Astaroth惡意軟件


10月14日,Trend Micro研究人員發現,一個名為Water Makara的威脅行為者團體針對巴西企業進行的惡意活動激增,使用了一種新的逃避技術來部署臭名昭著的Astaroth銀行惡意軟件。此次魚叉式網絡釣魚活動主要針對拉丁美洲的公司,尤其是巴西的制造公司、零售公司和政府機構,通過冒充官方稅務文件并利用個人所得稅申報的緊迫性誘騙用戶下載惡意軟件。攻擊者利用mshta.exe執行混淆的JavaScript命令,與C&C服務器建立連接。ZIP文件附件中包含惡意的LNK文件,當用戶執行時,會運行嵌入的惡意JavaScript命令。除了LNK文件,ZIP文件還包含另一個具有混淆JavaScript命令的文件。在此次活動中,攻擊者使用了多個文件擴展名,如.pdf、.jpg等,以傳播惡意軟件。解碼后的JavaScript命令揭示了一個惡意URL,通過GetObject函數嘗試執行或檢索對象,可能導致其他惡意操作。Water Makara的魚叉式網絡釣魚活動依賴于用戶點擊惡意文件,因此公司應采取最佳實踐,如安全培訓、強密碼策略、多因素身份驗證、保持安全解決方案更新等,以加強對此類威脅的防御。


https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html


3. Gmail用戶遭AI增強型網絡釣魚攻擊,專家親身揭秘騙局


10月14日,Gmail作為全球最流行的電子郵件服務,擁有超過25億用戶,也因此成為了惡意行為者入侵賬戶和竊取敏感數據的重點目標。微軟安全產品專家、CloudJoy創始人Sam Mitrovic最近警告稱,一種復雜的人工智能增強型網絡釣魚計劃正針對Gmail用戶,就連他自己也中了招。騙局從一封聲稱來自谷歌的電子郵件開始,郵件誘導他點擊鏈接進入一個仿真的欺詐網站,企圖竊取登錄憑據。接著,他又收到了來自“Google”的電話,聲稱檢測到其賬戶存在異?;顒?。盡管Mitrovic對來電號碼進行了在線搜索,并確認了其合法性,但在仔細檢查發件人的電子郵件地址后,他敏銳地發現地址偽裝成了Google官方域名。此外,Mitrovic還意識到,騙子的聲音過于完美,可能是由人工智能生成的。他認為,這是全球范圍內的黑客活動,而他只是眾多受害者之一。因此,他向公眾發出警示,提醒大家詐騙手段日益復雜且令人信服,個人應保持高度警惕,進行基本檢查或向信任的人求助,以防范此類攻擊。


https://securityonline.info/gmail-scam-alert-hackers-spoof-google-to-steal-credentials/


4. 思科調查數據泄露指控:疑遭黑客入侵


10月14日,思科公司證實正在調查一項指控,指控稱一名威脅行為者在黑客論壇上出售據稱是從思科竊取的數據,暗示公司可能已遭受入侵。思科發言人表示,公司已了解到相關報道,并已啟動調查以評估這一說法的真實性,但目前調查仍在進行中。此前,名為“IntelBroker”的威脅行為者聲稱,他與另外兩名黑客于2024年6月10日入侵了思科系統,并竊取了大量開發人員數據。據黑客論壇的帖子顯示,泄露的數據包括各種項目源代碼、硬編碼憑證、證書、客戶SRC、思科機密文檔等。IntelBroker還分享了涉嫌被盜數據的樣本。值得注意的是,6月份IntelBroker已開始出售或泄露包括T-Mobile、AMD和Apple在內的多家公司的數據。據消息人士透露,這些數據可能是從第三方DevOps和軟件開發托管服務提供商處竊取的。然而,目前尚不清楚思科此次泄密事件是否與此前6月份的泄密事件有關。


https://www.bleepingcomputer.com/news/security/cisco-investigates-breach-after-stolen-data-for-sale-on-hacking-forum/


5. 朝鮮黑客利用FASTCash新型Linux變種盜取金融機構資金


10月14日,朝鮮黑客正利用FASTCash惡意軟件的新型Linux變種,針對金融機構的支付轉換系統實施未經授權的現金提取。FASTCash先前主要針對Windows和IBM AIX系統,但最新發現的Ubuntu 22.04 LTS版本變種顯示黑客擴大了攻擊范圍。自2016年以來,FASTCash已被用于在30多個國家發動ATM取款攻擊,竊取數千萬美元,CISA于2018年首次警告該威脅,并將其歸咎于朝鮮政府支持的黑客組織“隱藏眼鏡蛇”。2020年,美國網絡司令部將FASTCash 2.0與APT38(Lazarus)聯系起來,一年后,三名朝鮮人因涉嫌參與此類計劃被起訴,竊取金額超過13億美元。HaxRob發現的新變種于2023年6月首次提交給VirusTotal,它以共享庫形式注入到支付交換服務器進程中,攔截并操縱ISO8583交易信息,將交易拒絕響應替換為批準,并包含隨機金額,使黑客能夠從ATM中提取現金。該Linux變體在VirusTotal上尚未被檢測到,表明其可逃避大多數安全工具。此外,HaxRob還報告了FASTCash新的Windows版本的出現,顯示黑客正在積極改進其工具集。


https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/


6. Gryphon Healthcare遭遇數據泄露,40萬人信息或遭竊取


10月14日,Gryphon Healthcare是一家總部位于休斯頓的醫療保健服務提供商,遭遇了一起可能涉及多達40萬人個人信息泄露的事件。不法分子可能進入了Gryphon一名客戶的系統,掌握了患者的姓名、出生日期、地址、社會保險號以及醫療數據,包括診斷、治療、處方和保險信息等。Gryphon表示非常重視信息安全,盡管沒有證據表明數據已被濫用,但已向所有受害者提供12個月的信用監控和身份保護服務。據稱,這393,358名個人的數據由Gryphon為其提供醫療賬單服務的組織存儲,可能包括醫院、急診室、影像中心等多種醫療機構。Gryphon在發現事件后立即采取措施增強安全性,但并未具體說明事件性質。未來幾個月,隨著律師們擬定集體訴訟計劃,Gryphon可能不得不披露更多信息。


https://www.theregister.com/2024/10/14/gryphon_healthcare_breach/

上一篇 下一篇