研究人員最近發現新的勒索軟體駭客組織Red CryptoApp,對方架設資料外洩網站,不僅公布受害組織名稱,並提供資料下載連結
資安業者Netenrich揭露名為Red CryptoApp(Red Ransomware Group)的勒索軟體駭客組織,駭客設置名為丟臉牆(Wall of Shame)的資料外洩網站,聲稱已攻擊12個企業組織,其中11個在3月5日內部資料遭竊,他們也提供下載連結。
有別於其他的勒索軟體駭客組織,Red CryptoApp這樣直接公布資料的做法很不尋常,因為,過往駭客多半是勒索不成的情況下,才會公布竊得的內部檔案。
而對於這些駭客的來歷,研究人員發現,部分勒索訊息的內容,與2020年11月收手的Maze雷同,因此他們推測很有可能是該組織成員另起爐灶。
惡意軟體IcedID變種Latrodectus攻擊行動升溫,透過網頁應用程式開發平臺Firebase散布
去年11月資安業者Proofpoint在電子郵件攻擊行動裡,發現名為Latrodectus的惡意程式,他們先後看到兩組人馬使用Latrodectus,去年11月,負責扮演「初始入侵管道掮客(IAB)」角色的駭客組織TA577,曾在3起攻擊攻擊行動使用該惡意程式;自12月開始,另一個駭客組織TA578跟進採用Latrodectus,對方透過惡意程式Danabot傳送。
但值得留意的是,TA578在今年2月改變攻擊手法,他們假借多家公司的名義,宣稱目標組織侵犯著作權,在網站上填寫表單,其中的文字含有URL,一旦目標組織的人士點選,就會被帶往特定的回報網頁,並從網頁應用程式開發平臺Firebase下載JavaScript檔案,一旦該檔案執行,就會從WebDAV共享資料夾啟動MSI安裝檔,從而在電腦執行Latrodectus。
經過他們的比對,這款惡意程式的基礎設施與IcedID重疊,並具備部分IcedID的特質,研究人員推測,Latrodectus很有可能是開發IcedID的團體打造。
針對微軟去年簽章金鑰外洩,美國政府公布調查結果,起因是該公司的安全文化不足
去年中國駭客Storm-0558竊得微軟帳戶(MSA)消費者簽章金鑰,並將其用於偽造身分驗證憑證,而能存取Outlook Web Access in Exchange Online(OWA)、Outlook.com用戶的電子郵件帳號,25個歐美政府組織及多名政要受害。美國國土安全部(DHS)著手調查此事,並於4月2日公布結果,他們認為,這起事故主要發生的原因在於,微軟本身的企業文化並不重視資訊安全,該公司應進行根本性的改革。
DHS表示,微軟在雲端服務缺乏部分安全控制措施,而且,在2021年併購一家公司後,開放該公司員工電腦連結微軟企業網路時,並未察覺有筆電已經被入侵。再者,雖然微軟在9月聲稱找到根本原因,但DHS發現其實是錯的,微軟直到今年3月才更正。
【漏洞與修補】
新型態HTTP/2漏洞遭揭露,網頁伺服器可能因為單一連線而癱瘓
研究人員Barket Nowotarski公布名為CONTINUATION Flood的漏洞,這項漏洞與HTTP/2 CONTINUATION框架(frame)使用有關,並指出在實作當中,這些框架往往並未受到合適的限制或是檢查,一旦缺乏框架的正確性檢查,攻擊者就有機會在特定配置的環境,藉由發送極長的字串,導致在處理上述框架的過程,記憶體被用光而當機,或是耗盡處理器資源,最終使得伺服器無法運作。
他向卡內基美隆大學電腦網路危機處理暨協調中心(CERT/CC)通報此事,CERT/CC將上述漏洞登記了9個CVE編號,並指出amphp、Apache HTTP伺服器、Tomcat、Traffic Server、Envoy代理伺服器、Go語言等多個專案曝險。
Hugging Face存在漏洞,恐導致AI供應鏈攻擊
資安業者Wiz揭露存在於AI模型資源共享平臺Hugging Face的兩項漏洞,分別是共享推論基礎設施遭到接管的風險,以及共享持續整合及持續交付(CI/CD)遭到接管的供應鏈風險。研究人員分析該系統的推論API、推論端點、代管及展示模型的功能(Spaces),將採用Pickle格式的惡意模型上傳到Hugging Face,從而遠端執行程式碼並擴張權限,再藉由容器逃逸技術來突破租戶限制,得以存取Hugging Face平臺上其它客戶所存放的模型。
對此,Hugging Face也採取行動進行修補,並與微軟聯手打造惡意Pickle檔案掃描工具Picklescan,並持續推動較安全的檔案格式Safetensors。該公司表示,有鑑於機器學習社群經常使用Pickle,縱使該檔案格式存在許多弱點,他們不打算全面封殺,但會儘可能減緩相關風險。
【資安產業動態】
Chrome將加入可阻擋cookie劫持的新功能
近日Google在測試版Chrome導入名為Device Bound Session Credentials(DBSC)的功能,藉由在連線階段(Session)與裝置綁定金鑰,目的是保護使用者不受cookie挾持攻擊。攻擊者即便竊得使用者的cookie,也無法冒充使用者存取他們的帳號。
該公司指出,由於cookie與作業系統的互動方式,一旦惡意軟體取得與瀏覽器相同的權限,就有機會自由存取瀏覽器存放的cookie,對此,他們透過DBSC將連線階段與裝置綁定,使得外流的cookie無法直接發揮作用。
