黑客滥用Genshin Impact反作弊系统,为勒索软件“开绿灯”

第359期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、韩警方调查政府YouTube官方频道遭黑客攻击事件

韩警方着手调查政府YouTube官方频道遭黑客攻击事件

由韩国文化体育观光部管理的YouTube频道“大韩民国政府”遭外部黑客窃取账号,四个小时后修复。4日,警察厅国家调查本部网络恐怖主义调查队对该案件展开了调查。

YouTube频道“大韩民国政府”3日凌晨3时20分左右突然被更名为“SpaceX Invest”,并出现了包含美国企业特斯拉CEO马斯克采访内容的虚拟货币相关直播视频。

警方还决定同时调查国立现代美术馆和韩国旅游发展局YouTube频道遭黑客攻击事件。此前,韩国旅游发展局的海外宣传YouTube频道“Imagining Your Korea”两次遭到黑客攻击,以致一度瘫痪。8月29日,国立现代美术馆的YouTube频道突然出现虚拟货币有关视频,两小时后被修复。[阅读原文]

 

2、勒索团伙LockBit 3.0成员称将招募更多日本人

被认为是以俄罗斯为据点的全球最大网络犯罪团伙“LockBit 3.0”的成员日前接受共同社采访,表示“伙伴有100人以上”,其中包括多名日籍黑客,还将招募更多的日籍合作者。该人称迄今已给全球2000家以上的企业和团体、1.5万名以上的个人造成了损失。

LockBit接受日本媒体采访实属罕见。该团伙把企业及团体的机密信息和个人信息加密,勒索钱财作为解除加密的条件,威胁若不答应支付,就把机密信息等公之于众。去年,他们攻击了德岛县Tsurugi町立半田医院,致使其暂停正常诊疗。如果日籍黑客增多,那么瞄准日本企业和团体的攻击可能会愈发猖獗。

该成员称,LockBit是“以金钱为目的的完全非政治组织”,“成员不仅来自前苏联国家,还有日本人、美国人”。该人表示勒索的金额因企业规模及加密信息的价值而异,大致是年销售额或年收入的0.5%~10%。该人未透露迄今获得的钱款总额。

LockBit等使用的电脑病毒被称为“勒索病毒”。该成员称“我们是优秀的程序员”,正在开发防御难度高的高级病毒,还强调“调查机关绝对找不到我们的位置,我一直辗转于全球”。

此次采访通过高度匿名的加密通信软件以聊天方式进行。在被问及是否会因为攻击给很多人造成了损失而良心不安时,该人回答称“是的”。但被问及今后是否会继续攻击,其回答是“当然”。[阅读原文]

 

3、EvilProxy 高级网络钓鱼策略工具,可让黑客绕过身份验证

暗网出现一个名为 EvilProxy 的反向代理网络钓鱼即服务 (PaaS) 平台,推广文案中称承诺窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。目前,尚不清楚该服务如何设置反向代理,让使用者能够绕开验证入侵攻击目标的账户。

反向代理是位于目标受害者和合法身份验证端点之间的服务器,例如公司的登录表单。当受害者连接到网络钓鱼页面时,反向代理会显示合法的登录表单、转发请求并从公司网站返回响应。当受害者将他们的凭据和 MFA 输入到网络钓鱼页面时,它们会被转发到用户登录的实际平台服务器,并返回一个会话 cookie。

但是,由于攻击者的代理位于中间,它也可以窃取包含身份验证令牌的会话 cookie。然后,攻击者就可以使用此身份验证 cookie 以用户身份登录站点,绕过配置的多因素身份验证保护。[阅读原文]

 

4、警惕!SharkBot Android银行木马假冒防病毒和清洁应用

臭名昭著的Android 银行木马SharkBot再次冒头,这次其伪装成防病毒和清洁应用程序出现在Google Play 商店。据了解,有问题的应用程序 Mister Phone Cleaner 和 Kylhavy Mobile Security被下载了60000+次,主要针对的是西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。

安全团队分析称,这个新的dropper不依赖 Accessibility 权限来自动执行dropper Sharkbot 恶意软件的安装,该版本要求受害者安装恶意软件作为防病毒软件的虚假更新,以保持免受威胁。[阅读原文]

 

5、黑客滥用Genshin Impact反作弊系统,为勒索软件“开绿灯”

黑客正在滥用广受欢迎的 Genshin Impact 反作弊系统驱动程序来禁用防病毒软件,同时进行勒索软件攻击。

趋势科技调查显示,网络犯罪分子利用一个易受攻击的Genshin Impact 视频游戏反作弊驱动程序来禁用防病毒程序部署勒索软件。据悉,驱动程序/模块“mhypro2.sys”不需要目标系统来安装游戏,它可以独立运行,甚至可以嵌入恶意软件中,这也就为黑客提供了一个禁用安全软件的强大“外挂”。

自 2020 年以来,易受攻击的驱动程序就已 为人所知 ,它可以访问任何进程/内核内存,并能够使用最高权限终止进程。研究人员过去曾多次向供应商报告过该问题。但是,代码签名证书尚未被吊销,因此该程序仍然可以安装在 Windows 上而不会引发任何警报。

更糟糕的是,自 2020 年以来,GitHub 上至少有两个概念验证漏洞利用,详细介绍了如何从用户模式读取/写入具有内核模式权限的内核内存、枚举线程和终止进程。[阅读原文]

 

6、《2022上半年网络安全漏洞态势观察》发布

2022年9月,由中国信息安全测评中心牵头编写的《2022上半年网络安全漏洞态势观察》报告(以下简称《报告》)正式发布。《报告》围绕漏洞危害、漏洞利用、漏洞管控等态势进行研究,把握总体趋势,分析现实威胁,探讨主要风险点,提出对策建议。《报告》的发布将为国家网络安全保障工作提供参考,进一步推动网络安全产业的发展。

阅读原文下载报告:《2022上半年网络安全漏洞态势观察》

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐