The Hacker News 網(wǎng)站披露，攻擊者在 npm 開(kāi)源軟件包存儲(chǔ)庫(kù)中“投放”大量偽造的軟件包，這些軟件包導(dǎo)致了短暫拒絕服務(wù)（DoS）攻擊。

Checkmarx 的研究人員 Jossef Harush Kadouri 在上周發(fā)布的一份報(bào)告中表示，攻擊者利用開(kāi)源生態(tài)系統(tǒng)在搜索引擎上的良好聲譽(yù)，創(chuàng)建惡意網(wǎng)站并發(fā)布帶有惡意網(wǎng)站鏈接的空包，此舉可能導(dǎo)致拒絕服務(wù)（DoS）攻擊，使 NPM 變得極不穩(wěn)定，甚至偶爾會(huì)出現(xiàn)服務(wù)不可用的“錯(cuò)誤”。在最近觀(guān)察到的一波攻擊活動(dòng)中，軟件包版本數(shù)量達(dá)到了 142 萬(wàn)個(gè)，顯然比 npm 上發(fā)布的約 80 萬(wàn)個(gè)軟件包數(shù)量大幅上升。

Harush Kadouri 解釋稱(chēng)攻擊者“借用”開(kāi)源存儲(chǔ)庫(kù)在搜索引擎中排名創(chuàng)建流氓網(wǎng)站，并在 README.md 文件中上傳空的 npm 模塊和指向這些網(wǎng)站的鏈接。由于開(kāi)源生態(tài)系統(tǒng)在搜索引擎上享有盛譽(yù)，任何新的開(kāi)源軟件包及其描述都會(huì)繼承這一良好聲譽(yù)，并在搜索引擎中得到很好的索引，因此毫無(wú)戒心的用戶(hù)更容易看到它們。

據(jù)外媒報(bào)道，全球硬件巨頭微星（Micro-Star）近日已被一個(gè)名為“Money Message”的勒索軟件團(tuán)伙列入受害者名單，該勒索團(tuán)伙發(fā)布了微星CTMS和ERP數(shù)據(jù)庫(kù)的截圖，聲稱(chēng)竊取了微星源代碼、密鑰以及BIOS固件等各種敏感信息。據(jù)悉，微星遭竊取的文件總大小約為1.5TB。Money Message威脅稱(chēng)，要是微星不在一周內(nèi)支付400萬(wàn)美元（約合人民幣2750萬(wàn)元）的贖金，他們就將公開(kāi)泄露所有竊取得手的文件。

“去跟你的經(jīng)理說(shuō)，我們有MSI源代碼，包括開(kāi)發(fā)bios的框架，我們還有私鑰，可以登錄這些bios的任何自定義模塊，并將其安裝在帶有該bios的PC上。” Money Message的一位黑客對(duì)微星代理說(shuō)道。

在這之后，微星在其官網(wǎng)上發(fā)布了一則聲明，確認(rèn)其最近有部分信息系統(tǒng)遭受了網(wǎng)絡(luò)攻擊。微星表示其信息部門(mén)發(fā)現(xiàn)網(wǎng)絡(luò)異常后，及時(shí)啟動(dòng)了相關(guān)防御機(jī)制、采取恢復(fù)措施，并向政府執(zhí)法機(jī)構(gòu)和網(wǎng)絡(luò)安全部門(mén)報(bào)告了這一事件。目前，受影響的系統(tǒng)已逐步恢復(fù)正常運(yùn)行，對(duì)金融業(yè)務(wù)沒(méi)有重大影響。另外，微星還特別敦促用戶(hù)僅從其官方網(wǎng)站獲取固件/ BIOS更新，并且不要使用官網(wǎng)以外來(lái)源的文件。

安全研究人員和專(zhuān)家警告稱(chēng)，Windows 消息隊(duì)列 (MSMQ) 中間件服務(wù)中存在一個(gè)高危漏洞 CVE-2023-21554。利用該漏洞，攻擊者能夠在無(wú)用戶(hù)交互的情況下實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，進(jìn)而接管服務(wù)器資源。

Windows 消息隊(duì)列 (MSMQ) 在所有Windows版本里都可用，主要用于為應(yīng)用程序提供“消息傳遞保證”網(wǎng)絡(luò)功能、啟動(dòng) PowerShell 或控制面板。值得注意的是，該服務(wù)通常在安裝企業(yè)應(yīng)用程序時(shí)在后臺(tái)啟用，即使應(yīng)用程序卸載后也會(huì)繼續(xù)運(yùn)行。例如，MSMQ 會(huì)在 Exchange Server 安裝期間自動(dòng)啟用。

據(jù) Check Point Research 稱(chēng)，超過(guò) 360,000 臺(tái)運(yùn)行 MSMQ 服務(wù)的 Internet 可用服務(wù)器可能容易受到攻擊。目前已有10個(gè)不同的IP地址開(kāi)始掃描互聯(lián)網(wǎng)上開(kāi)放的服務(wù)器。雖然微軟已經(jīng)修復(fù)了這個(gè)漏洞，但該公司還建議無(wú)法緊急應(yīng)用更新的管理員禁用 Windows MSMQ 服務(wù)。無(wú)法禁用 MSMQ 或安裝 Microsoft 修補(bǔ)程序的組織可以使用防火墻規(guī)則阻止來(lái)自不受信任來(lái)源的 1801/TCP 連接。

沃爾沃作為一家瑞典豪華汽車(chē)制造商，每年能夠銷(xiāo)售近70萬(wàn)輛汽車(chē)。沃爾沃的客群基本上是一些有一定經(jīng)濟(jì)實(shí)力的客戶(hù)，這對(duì)于一些犯罪分子來(lái)說(shuō)無(wú)疑是塊極具吸引力的“肥肉”。據(jù)網(wǎng)絡(luò)新聞研究小組調(diào)查發(fā)現(xiàn)，巴西的沃爾沃汽車(chē)零售商Dimas Volvo在近一年時(shí)間里都在持續(xù)通過(guò)其網(wǎng)站泄露敏感文件，這些信息可能會(huì)被一些不懷好意的人拿來(lái)用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。美國(guó)數(shù)字安全調(diào)查媒體的相關(guān)人員聯(lián)系了Dimas Volvo和負(fù)責(zé)沃爾沃總部數(shù)據(jù)保護(hù)的相關(guān)官員，了解到目前這個(gè)信息泄漏的問(wèn)題已經(jīng)得到了妥善的解決。

在泄露的數(shù)據(jù)中，研究人員還發(fā)現(xiàn)儲(chǔ)存網(wǎng)站源代碼的Git庫(kù)的URL，會(huì)直接透露出數(shù)據(jù)庫(kù)的名稱(chēng)和創(chuàng)建者。這些攻擊者僅需一個(gè)密碼，再配合泄露的憑證信息就能強(qiáng)行訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，這比同時(shí)去猜測(cè)出用戶(hù)名以及密碼之后才能訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的方式要快得多。

攻擊者可以利用有關(guān)網(wǎng)站結(jié)構(gòu)的信息來(lái)確定開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中所采用到的技術(shù)，然后把整個(gè)過(guò)程簡(jiǎn)化一下，就可以直接達(dá)到直接入侵網(wǎng)站的目的。

The Hacker News 網(wǎng)站披露，研究人員發(fā)現(xiàn)微軟 Azure 中存在一個(gè)”設(shè)計(jì)缺陷 ”，一旦攻擊者成功利用，便可以訪(fǎng)問(wèn)存儲(chǔ)帳戶(hù)，甚至可在內(nèi)部系統(tǒng)環(huán)境中橫向移動(dòng)，執(zhí)行遠(yuǎn)程代碼。

The Hacker News 在與 Orca 分享的一份新報(bào)告中表示，攻擊者可以利用該缺陷，通過(guò)操縱 Azure 功能竊取更高特權(quán)身份的訪(fǎng)問(wèn)令牌、橫向移動(dòng)、秘密訪(fǎng)問(wèn)關(guān)鍵業(yè)務(wù)資產(chǎn)和執(zhí)行遠(yuǎn)程代碼(RCE)，甚至有可能濫用和利用 Microsoft 存儲(chǔ)帳戶(hù)。

從微軟的說(shuō)法來(lái)看，Azure 在創(chuàng)建存儲(chǔ)帳戶(hù)時(shí)會(huì)生成兩個(gè) 512 位的存儲(chǔ)帳戶(hù)訪(fǎng)問(wèn)密鑰，這些密鑰可用于通過(guò)共享密鑰授權(quán)或通過(guò)使用共享密鑰簽名的 SAS令牌授權(quán)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)。更危險(xiǎn)的是，這些訪(fǎng)問(wèn)密鑰可以通過(guò)操縱 Azure 功能來(lái)竊取，這就給威脅攻擊者留下了升級(jí)權(quán)限并接管系統(tǒng)的“后門(mén)”。因?yàn)樵诓渴?Azure Function 應(yīng)用程序時(shí)會(huì)創(chuàng)建一個(gè)專(zhuān)用存儲(chǔ)帳戶(hù)，如果使用管理員身份來(lái)調(diào)用 Function 應(yīng)用程序，則可能會(huì)濫用該標(biāo)識(shí)來(lái)執(zhí)行任何命令。

近日，歐洲刑警組織（Europol）和歐洲司法組織（Eurojust）舉行一次聯(lián)合行動(dòng)，逮捕了某大型網(wǎng)絡(luò)投資詐騙集團(tuán)五名詐騙分子，該集團(tuán)至少勒索了 3.3 萬(wàn)名受害者，合計(jì)獲得非法收入超 8900萬(wàn)歐元（約合 9800 萬(wàn)美元）。

從披露的案件資料來(lái)看，該詐騙分子集團(tuán)通過(guò)網(wǎng)絡(luò)和社交媒體發(fā)布廣告引誘投資者，并承諾巨額利潤(rùn)誘騙受害者進(jìn)行最高 250 歐元的小額初始投資。歐洲刑警組織表示，欺詐活動(dòng)發(fā)生在 2019 年至 2021 期間，2021 年，詐騙分子開(kāi)始擴(kuò)大詐騙范圍，分別在保加利亞和羅馬尼亞設(shè)立了呼叫中心，冒充所謂的“個(gè)人財(cái)務(wù)顧問(wèn)”聯(lián)系受害者，并承諾如果投資便可以獲得高額利潤(rùn)回報(bào)，事實(shí)上，一旦受害者打款，錢(qián)便立刻被轉(zhuǎn)存至犯罪者的銀行賬戶(hù)中。最后，警方披露詐騙分子在烏克蘭、德國(guó)、西班牙、拉脫維亞、芬蘭和阿爾巴尼亞等多個(gè)歐洲國(guó)家建立呼叫中心，通過(guò)冒充加密貨幣、股票、債券、期貨和期權(quán)投資合法門(mén)戶(hù)，并許以高額回報(bào)，誘騙潛在投資者進(jìn)行投資。

近日，卡巴斯基的最新發(fā)現(xiàn)顯示，一個(gè)新的QBot惡意軟件正在利用被劫持的商業(yè)電子郵件，分發(fā)惡意軟件。QBot（又名Qakbot或Pinkslipbot）是一個(gè)銀行木馬，從2007年開(kāi)始活躍。除了從網(wǎng)絡(luò)瀏覽器中竊取密碼和cookies，它還作為后門(mén)注入有效載荷，如Cobalt Strike或勒索軟件。

該惡意軟件通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)傳播，并不斷更新，通過(guò)加入反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)以逃避檢測(cè)。正因?yàn)檫@樣，它也成為2023年3月最流行的惡意軟件。早期，QBot的傳播方式是通過(guò)受感染的網(wǎng)站和盜版軟件傳播的?，F(xiàn)在則是通過(guò)銀行木馬已經(jīng)駐留在其計(jì)算機(jī)上的惡意軟件，社交工程和垃圾郵件傳遞給潛在的受害者。電子郵件網(wǎng)絡(luò)釣魚(yú)攻擊并不新鮮。其目的是誘使受害者打開(kāi)惡意鏈接或惡意附件，一般情況下，這些文件被偽裝成一個(gè)微軟Office 365或微軟Azure警報(bào)的封閉式PDF文件。

打開(kāi)該文件后，就會(huì)從一個(gè)受感染的網(wǎng)站上檢索到一個(gè)存檔文件，該文件又包含了一個(gè)混淆的Windows腳本文件（.WSF）。該腳本包含一個(gè)PowerShell腳本，從遠(yuǎn)程服務(wù)器下載惡意的DLL。下載的DLL就是QBot惡意軟件。