国内外要闻
俄黑客 TAG - 110 于欧亚多国开展网络间谍与破坏活动, 地缘战略意图凸显
2024 年 11 月 22 日消息,与俄罗斯有关联的威胁行为者在中亚、东亚和欧洲开展了网络间谍活动。Recorded Future 的 Insikt Group 将该活动集群命名为 TAG-110,其与乌克兰计算机应急响应小组(CERT-UA)追踪的 UAC-0063 威胁组织有重叠,而 UAC-0063 又与 APT28 重叠,该黑客团伙至少自 2021 年起就很活跃。
TAG-110 主要利用定制恶意软件工具 HATVIBE 和 CHERRYSPY 攻击政府机构、人权组织和教育机构等。HATVIBE 作为加载器来部署用于数据窃取和间谍活动的 Python 后门 CHERRYSPY。CERT-UA 早在 2023 年 5 月下旬就首次记录了 TAG-110 对这两种恶意软件的使用,当时与针对乌克兰国家机构的网络攻击有关,一年多后在该国一家未具名科研机构的入侵事件中再次发现它们。
此后已确定 11 个国家的 62 个独特受害者,中亚地区(如塔吉克斯坦、吉尔吉斯斯坦、哈萨克斯坦、土库曼斯坦和乌兹别克斯坦)是威胁行为者重点关注区域,可能是为收集情报以服务俄罗斯在该地区的地缘政治目标,此外在亚美尼亚、中国、匈牙利、印度、希腊和乌克兰也发现了部分受害者。
攻击链涉及利用面向公众的网络应用(如 Rejetto HTTP File Server)的安全漏洞以及钓鱼邮件作为初始接入向量来投放 HATVIBE,进而部署 CHERRYSPY 后门进行数据收集和窃取。Recorded Future 认为 TAG-110 的行动可能是俄罗斯收集地缘政治发展情报并在后苏联国家维持影响力这一更广泛战略的一部分,且俄罗斯在 2022 年 2 月全面入侵乌克兰后,还加强了对欧洲关键基础设施的破坏行动,目标包括爱沙尼亚、芬兰、拉脱维亚、立陶宛、挪威和波兰等,这些隐蔽活动符合俄罗斯的混合战争战略,随着俄与西方关系持续紧张,俄罗斯很可能会增加破坏行动的破坏性和杀伤力,且与网络及影响力行动相配合。
16日,吉林舒兰灾后住房重建(修缮)工作已启动,舒兰市已统计需要重建的受灾户924户,预计10月20日前完成所有受灾户的住房安置工作。。
解锁谷歌工作空间安全:数据保护是否到位?
谷歌工作空间已成为全球企业生产力的核心,其集邮件、云存储和协作工具于一体的一站式服务,助力团队高效连接与工作,推动数字化转型。但随着企业从传统本地设备安全设置转向以用户为中心的混合模式,谷歌工作空间因高连接性和灵活性,成为网络犯罪分子的诱人目标。其拥有约 30 亿全球用户,在带来便捷的同时也伴随着风险。
在云数据安全方面,谷歌工作空间遵循共享责任模型,谷歌负责基础设施保护,而用户账户内的数据管理和访问权限设置等则由用户负责,如设置强访问控制、管理权限、启用多因素认证、备份数据以及防范钓鱼或意外删除等威胁。
用户往往是网络安全链条中的薄弱环节,常见的错误包括使用弱密码或重复密码、未启用多因素认证、错误配置安全设置和用户权限、邮件过滤和防护不足、用户生命周期管理不善以及未正确备份云数据等。例如,网络犯罪分子不断演变攻击策略,通过伪装成可信联系人、伪造登录页面等钓鱼手段获取用户凭证。
为保护谷歌工作空间,需采取八项关键措施:
其中,可靠的备份策略是最后防线,3-2-1-1-0 备份规则应运而生,即保持三份数据副本、两种存储格式、一份异地副本、一份不可变副本且确保可恢复。Backupify 作为专门针对谷歌工作空间的云到云备份解决方案,能为组织数据提供无缝、可靠的保护,具备自动化备份、安全加密、符合行业标准等诸多优势,可助力企业自信地保护谷歌工作空间数据,确保数据弹性安全、即时恢复和业务持续运营。
-
-
多层安全防护,包括多因素认证、条件访问和身份保护;
-
定期进行漏洞评估和渗透测试;
-
开展用户意识培训;
-
实施实时监控和日志记录;
-
采用零信任原则;
-
强化邮件安全;
-
运用云检测与响应工具;
-
实现自动化备份与恢复。
-
16日,吉林舒兰灾后住房重建(修缮)工作已启动,舒兰市已统计需要重建的受灾户924户,预计10月20日前完成所有受灾户的住房安置工作。。
PyPI 攻击:ChatGPT、Claude 仿冒者 通过 Python 库传播 JarkaStealer
网络安全研究人员发现两个被上传到 Python 包索引(PyPI)仓库的恶意包,它们仿冒了如 OpenAI ChatGPT 和 Anthropic Claude 等流行的人工智能(AI)模型,目的是传播一种名为 JarkaStealer 的信息窃取程序。
这两个包分别名为 gptplus 和 claudeai-eng,由名为 "Xeroline" 的用户在 2023 年 11 月上传,分别吸引了 1748 次和 1826 次下载,目前这两个库都已无法从 PyPI 下载。
卡巴斯基在一篇文章中提到:"这些恶意包由同一作者上传到仓库,实际上它们仅在名称和描述上有所不同。"
这些包声称可提供访问 GPT-4 Turbo API 和 Claude AI API 的途径,但包内藏有恶意代码,一旦安装就会启动恶意软件的部署。
具体来说,这些包中的 "init.py" 文件包含 Base64 编码的数据,其中的代码会从 GitHub 仓库("github [.] com/imystorage/storage")下载一个 Java 归档文件("JavaUpdater.jar")。如果主机上尚未安装 Java,它还会从 Dropbox 网址下载 Java 运行时环境(JRE),然后运行该 JAR 文件。
这个 JAR 文件就是基于 Java 的信息窃取程序 JarkaStealer,它能够窃取多种敏感信息,包括网络浏览器数据、系统数据、截屏以及来自 Telegram、Discord 和 Steam 等各种应用的会话令牌。
最后,收集到的信息会被归档,传输到攻击者的服务器,然后从受害者的机器上删除。据悉,JarkaStealer 通过 Telegram 频道以恶意软件即服务(MaaS)的模式出售,价格在 20 美元到 50 美元之间,不过其源代码已在 GitHub 上泄露。
ClickPy 的统计数据显示,在这场为期一年的供应链攻击活动中,下载这些包的用户主要来自美国、中国、印度、法国、德国和俄罗斯。
卡巴斯基研究人员 Leonid Bezvershenko 表示:"这一发现凸显了软件供应链攻击的持续风险,并强调了在将开源组件融入开发过程时保持警惕的关键必要性。"
16日,吉林舒兰灾后住房重建(修缮)工作已启动,舒兰市已统计需要重建的受灾户924户,预计10月20日前完成所有受灾户的住房安置工作。。16日,吉林舒兰灾后住房重建(修缮)工作已启动,舒兰市已统计需要重建的受灾户924户,预计10月20日前完成所有受灾户的住房安置工作。。
Palo Alto网络设备遭大规模攻击:危机与应对
近期,一场严重的网络攻击活动使多达 2000 台Palo Alto网络设备陷入危机。这些设备因被利用新披露且在野外活跃的安全漏洞而遭受入侵。从地域分布来看,美国(554 台)和印度(461 台)受感染情况较为突出,泰国(80 台)、墨西哥(48 台)、印度尼西亚(43 台)、土耳其(41 台)、英国(39 台)、秘鲁(36 台)和南非(35 台)等国也有波及。
此次事件涉及的 CVE - 2024 - 0012(CVSS 评分:9.3)和 CVE - 2024 - 9474(CVSS 评分:6.9)漏洞,二者组合形成认证绕过与权限提升风险,恶意行为者借此可修改配置、执行任意代码,甚至在被黑的Palo Alto防火墙上植入基于 PHP 的网络 shell 等恶意软件,实现命令执行。帕洛阿尔托网络将此零日漏洞利用行动命名为"月球窥视行动",并警告随着串联这两个漏洞的功能性利用工具公开,网络攻击可能进一步升级。
面对此情况,Palo Alto指出已观测到手动与自动扫描活动,用户需尽快应用最新补丁,同时依据最佳实践部署指南保障管理接口安全,关键在于限制访问为可信内部 IP 地址,杜绝外部互联网访问。值得注意的是,实际感染设备数量比 Shadowserver 基金会报告的少,因后者仅统计管理接口暴露于互联网的防火墙。且多数Palo Alto客户已遵循行业最佳实践,仅不到 0.5%的防火墙有互联网暴露接口。此次事件警示企业与网络安全从业者,需高度重视网络设备安全防护,及时应对新出现的安全威胁,防止因漏洞被利用而遭受重大损失。
知识分享
域名电子邮件分析工具
16日,吉林舒兰灾后住房重建(修缮)工作已启动,舒兰市已统计需要重建的受灾户924户,预计10月20日前完成所有受灾户的住房安置工作。。
常见密码攻击手段
常见的密码攻击手段有以下几种:
-
暴力破解攻击:黑客使用软件猜测各种密码组合,直到破解密码。
-
键盘记录器:恶意软件记录用户按键,在用户输入密码时捕获密码。
-
凭证填充攻击:网络犯罪分子利用窃取的凭证(如用户名和密码)闯入账户。
-
字典攻击:与暴力破解攻击类似,字典攻击依赖常见短语或字典中的单词作为密码猜测的依据。
-
社会工程学攻击:黑客创建类似于合法登录页面的虚假网站。当用户在这些页面上输入信息时,信息会被记录下来。
-
彩虹表攻击:这种密码破解方式使用预先计算好的所有可能密码的哈希值表。
