美国油服巨头 Halliburton 遭网络攻击
2024-08-22 16:00 by 2010:太空漫游
根据知情人士的消息,美国油服巨头 Halliburton 遭到网络攻击,影响休斯顿园区和部分全球网络的业务运营。Halliburton 据没有证实也没有否认网络攻击,只是表示公司部分系统发现问题,正在评估原因和潜在影响。知情人士称,Halliburton 要求部分员工不要连上内网。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。
https://edition.cnn.com/2024/08/21/business/oil-giant-halliburton-apparent-cyberattack/index.html
#安全
2024-08-22 16:00 by 2010:太空漫游
根据知情人士的消息,美国油服巨头 Halliburton 遭到网络攻击,影响休斯顿园区和部分全球网络的业务运营。Halliburton 据没有证实也没有否认网络攻击,只是表示公司部分系统发现问题,正在评估原因和潜在影响。知情人士称,Halliburton 要求部分员工不要连上内网。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。
https://edition.cnn.com/2024/08/21/business/oil-giant-halliburton-apparent-cyberattack/index.html
#安全
后门通过 DNS 流量与 CC 服务器通信
2024-08-26 17:00 by 十二魔
赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C(指令控制)服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器(ctl.msedeapi[.]net))域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句,后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的,漏洞的危险评分 9.8/10,影响 Windows 系统上安装的所有版本的 PHP,成功利用漏洞允许远程执行代码。
https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns
https://therecord.media/hackers-malware-university-taiwan-backdoor
#安全
2024-08-26 17:00 by 十二魔
赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C(指令控制)服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器(ctl.msedeapi[.]net))域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句,后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的,漏洞的危险评分 9.8/10,影响 Windows 系统上安装的所有版本的 PHP,成功利用漏洞允许远程执行代码。
https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns
https://therecord.media/hackers-malware-university-taiwan-backdoor
#安全
复旦微电子的 RFID 芯片被发现使用相同密钥
2024-08-26 19:13 by 人性分解
法国安全服务公司 Quarkslab 的研究员 Philippe Teuwen 发现,复旦微电子集团制造的非接触式读卡器芯片使用了相同的密钥,允许在数分钟内克隆 RFID 智能卡,打开世界各地的房门。复旦微电子在 2020 年发布了用于门锁钥匙、小额支付、会员卡的 FM11RF08S,它使用了被称为“静态加密随机数(static encrypted nonce)”的方法,研究人员设计了一种攻击方法,如果 FM11RF08S 密钥在至少三张卡上重复使用,就能破解它。进一步研究发现,FM11RF08S 存在一个硬件后门——也就是所有卡使用的相同密钥。Teuwen 发现上一代的 FM11RF08 存在相似的后门但使用了不同的密钥,该密钥被发现被 FM11RF08、FM11RF32、FM1208-10,以及 NXP 和 Infineon 的部分卡使用。Quarkslab 督促世界各地的酒店检查其房卡使用的芯片,评估安全风险。
https://eprint.iacr.org/2024/1275.pdf
https://www.fmsh.com/7e67a741-a1ed-718d-15e3-83bdb6ecf4fa/
#安全
2024-08-26 19:13 by 人性分解
法国安全服务公司 Quarkslab 的研究员 Philippe Teuwen 发现,复旦微电子集团制造的非接触式读卡器芯片使用了相同的密钥,允许在数分钟内克隆 RFID 智能卡,打开世界各地的房门。复旦微电子在 2020 年发布了用于门锁钥匙、小额支付、会员卡的 FM11RF08S,它使用了被称为“静态加密随机数(static encrypted nonce)”的方法,研究人员设计了一种攻击方法,如果 FM11RF08S 密钥在至少三张卡上重复使用,就能破解它。进一步研究发现,FM11RF08S 存在一个硬件后门——也就是所有卡使用的相同密钥。Teuwen 发现上一代的 FM11RF08 存在相似的后门但使用了不同的密钥,该密钥被发现被 FM11RF08、FM11RF32、FM1208-10,以及 NXP 和 Infineon 的部分卡使用。Quarkslab 督促世界各地的酒店检查其房卡使用的芯片,评估安全风险。
https://eprint.iacr.org/2024/1275.pdf
https://www.fmsh.com/7e67a741-a1ed-718d-15e3-83bdb6ecf4fa/
#安全
Google Chrome 今年至今修复了 10 个 0day
2024-08-27 23:00 by 神们自己
Google Chrome 浏览器今年至今修复了 10 个 0day。其中第 10 个是安全研究员 TheDog 报告的 CVE-2024-7965,是编译器后端在选择要生成的 JIT 编译指令时的一个 bug 导致的,位于 V8 JS 引擎中,远程攻击者可通过特制 HTML 页面利用堆损坏。第九个 0day 是 CVE-2024-7971。Google 证实 CVE-2024-7971 和 CVE-2024-7965 两个漏洞正被利用,但没有披露更多信息。
https://www.bleepingcomputer.com/news/security/google-tags-a-tenth-chrome-zero-day-as-exploited-this-year/
#安全
2024-08-27 23:00 by 神们自己
Google Chrome 浏览器今年至今修复了 10 个 0day。其中第 10 个是安全研究员 TheDog 报告的 CVE-2024-7965,是编译器后端在选择要生成的 JIT 编译指令时的一个 bug 导致的,位于 V8 JS 引擎中,远程攻击者可通过特制 HTML 页面利用堆损坏。第九个 0day 是 CVE-2024-7971。Google 证实 CVE-2024-7971 和 CVE-2024-7965 两个漏洞正被利用,但没有披露更多信息。
https://www.bleepingcomputer.com/news/security/google-tags-a-tenth-chrome-zero-day-as-exploited-this-year/
#安全
韩国黑客利用 WPS Office 0day 部署恶意程序
2024-08-29 14:53 by 阿尔法计划
韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件,在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262,影响版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。金山在 3 月悄悄修复了漏洞,但没有向客户披露该漏洞正被活跃利用,促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关,其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件,嵌入了隐藏在诱饵图像下的恶意超链接,引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整,ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。
https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/
#安全
2024-08-29 14:53 by 阿尔法计划
韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件,在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262,影响版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。金山在 3 月悄悄修复了漏洞,但没有向客户披露该漏洞正被活跃利用,促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关,其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件,嵌入了隐藏在诱饵图像下的恶意超链接,引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整,ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。
https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/
#安全
升泰科技安全探头 0day 被用于安装 Mirai
2024-08-29 23:30 by 时空折叠
黑客正利用升泰科技一款已停产停止支持的网络安全探头的 0day 安装恶意程序 Mirai 组建僵尸网络。Akamai 称,攻击者利用的是 AVM1203 上一个有 5 年历史的漏洞 CVE-2024-7029,该漏洞很容易利用,能被用于执行恶意代码。AVM1203 已停售和停止支持,因此不会有补丁去修复该漏洞。攻击者正利用漏洞安装 Mirai 的一个变种。鉴于该探头已停止支持,因此修复该漏洞的最佳方法是更换探头。
https://www.akamai.com/blog/security-research/2024-corona-mirai-botnet-infects-zero-day-sirt
https://arstechnica.com/security/2024/08/unpatchable-0-day-in-surveillance-cam-is-being-exploited-to-install-mirai/
#安全
2024-08-29 23:30 by 时空折叠
黑客正利用升泰科技一款已停产停止支持的网络安全探头的 0day 安装恶意程序 Mirai 组建僵尸网络。Akamai 称,攻击者利用的是 AVM1203 上一个有 5 年历史的漏洞 CVE-2024-7029,该漏洞很容易利用,能被用于执行恶意代码。AVM1203 已停售和停止支持,因此不会有补丁去修复该漏洞。攻击者正利用漏洞安装 Mirai 的一个变种。鉴于该探头已停止支持,因此修复该漏洞的最佳方法是更换探头。
https://www.akamai.com/blog/security-research/2024-corona-mirai-botnet-infects-zero-day-sirt
https://arstechnica.com/security/2024/08/unpatchable-0-day-in-surveillance-cam-is-being-exploited-to-install-mirai/
#安全
Pidgin 官方插件库发现恶意程序
2024-08-31 23:58 by 秘密团伙
安全公司 ESET 报告在自由软件 IM 客户端 Pidgin 的官方插件库发现恶意程序。被称为 ScreenShareOTR 的插件伪装成支持 Off-The-Record (OTR)协议的屏幕共享工具,但实际上会悄悄安装恶意程序 DarkGate。该恶意程序只感染 Windows 操作系统。安全研究人员建议安装了该插件的用户立即卸载并用杀毒软件完整扫描系统。Pidgin 维护者 Gary Kramlich 表示他们没有跟踪一个插件的安装次数。为防止类似事件再次发生,Pidgin 宣布从现在起将只接受采用 OSI 批准开源许可证的第三方插件。
https://infosec.exchange/@grimmy@mastodon.social/113035335884182662
https://www.bleepingcomputer.com/news/security/malware-infiltrates-pidgin-messengers-official-plugin-repository/
#安全
2024-08-31 23:58 by 秘密团伙
安全公司 ESET 报告在自由软件 IM 客户端 Pidgin 的官方插件库发现恶意程序。被称为 ScreenShareOTR 的插件伪装成支持 Off-The-Record (OTR)协议的屏幕共享工具,但实际上会悄悄安装恶意程序 DarkGate。该恶意程序只感染 Windows 操作系统。安全研究人员建议安装了该插件的用户立即卸载并用杀毒软件完整扫描系统。Pidgin 维护者 Gary Kramlich 表示他们没有跟踪一个插件的安装次数。为防止类似事件再次发生,Pidgin 宣布从现在起将只接受采用 OSI 批准开源许可证的第三方插件。
https://infosec.exchange/@grimmy@mastodon.social/113035335884182662
https://www.bleepingcomputer.com/news/security/malware-infiltrates-pidgin-messengers-official-plugin-repository/
#安全
Halliburton 称黑客从其系统中删除了数据
2024-09-04 16:32 by 繁星若尘
美国油服巨头 Halliburton 周二证实上个月遭到了网络攻击,表示未经授权的第三方访问并删除了其系统中的数据。上个月的攻击影响了 Halliburton 休斯顿园区和部分全球网络的业务运营。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。该公司表示正在评估被删除信息的性质和范围,但认为不太可能产生重大影响。它没有透露更多信息,包括是否被黑客联系商讨支付赎金之类。
https://www.solidot.org/story?sid=79044
https://www.usnews.com/news/technology/articles/2024-09-03/halliburton-reports-unauthorized-exfiltration-of-information
#安全
2024-09-04 16:32 by 繁星若尘
美国油服巨头 Halliburton 周二证实上个月遭到了网络攻击,表示未经授权的第三方访问并删除了其系统中的数据。上个月的攻击影响了 Halliburton 休斯顿园区和部分全球网络的业务运营。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。该公司表示正在评估被删除信息的性质和范围,但认为不太可能产生重大影响。它没有透露更多信息,包括是否被黑客联系商讨支付赎金之类。
https://www.solidot.org/story?sid=79044
https://www.usnews.com/news/technology/articles/2024-09-03/halliburton-reports-unauthorized-exfiltration-of-information
#安全
YubiKey 5 存在侧信道漏洞容易被克隆
2024-09-04 23:48 by 奇迹男孩与冰霜巨人
广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞,攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道,存在于其使用的一个微控制器中,而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆,不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌(Infineon)制造的 SLE78,以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞,它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的,这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。
https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/
#安全
2024-09-04 23:48 by 奇迹男孩与冰霜巨人
广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞,攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道,存在于其使用的一个微控制器中,而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆,不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌(Infineon)制造的 SLE78,以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞,它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的,这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。
https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/
#安全
CrowdStrike 称尚未有客户正式提起诉讼
2024-09-10 22:14 by 暗影徘徊
美国网络安全公司 CrowdStrike 今年 7 月因为有问题的更新导致了全世界的 Windows 主机蓝屏死机,有逾 800 万台 PC 受到影响,是过去十年最严重的安全事故。达美航空CEO Ed Bastian 上个月表示,该公司因此次事故损失了 5 亿美元。CrowdStrike CFO Burt Podbere 在花旗的会议上表示,尚未有客户正式提起诉讼,称公司致力于将客户关注的焦点从法律威胁转移到业务讨论上。他承认不知道这一切会如何收场,他希望随着时间的推移,法律威胁将会逐渐消失。
https://it.slashdot.org/story/24/09/09/2034207/crowdstrike-hopes-legal-threats-will-fade-as-time-passes
#安全
2024-09-10 22:14 by 暗影徘徊
美国网络安全公司 CrowdStrike 今年 7 月因为有问题的更新导致了全世界的 Windows 主机蓝屏死机,有逾 800 万台 PC 受到影响,是过去十年最严重的安全事故。达美航空CEO Ed Bastian 上个月表示,该公司因此次事故损失了 5 亿美元。CrowdStrike CFO Burt Podbere 在花旗的会议上表示,尚未有客户正式提起诉讼,称公司致力于将客户关注的焦点从法律威胁转移到业务讨论上。他承认不知道这一切会如何收场,他希望随着时间的推移,法律威胁将会逐渐消失。
https://it.slashdot.org/story/24/09/09/2034207/crowdstrike-hopes-legal-threats-will-fade-as-time-passes
#安全