安全新聞周報20240817~ 0823
1.捷克移動用戶成為新銀行憑證盜竊計劃的目標
捷克共和國的移動用戶是新型網絡釣魚活動的目標,該活動利用漸進式 Web 應用程序 (PWA) 試圖規避安全保護並竊取他們的銀行賬戶憑證。
據斯洛伐克網絡安全公司ESET稱,這些攻擊針對的是捷克的Československá obchodní銀行(CSOB),以及匈牙利OTP銀行和格魯吉亞TBC銀行。
安全研究員 Jakub Osmani說:「針對 iOS 的網路釣魚網站指示受害者將漸進式 web 應用程序 (PWA) 添加到他們的主屏幕,而在 Android 上,PWA 是在確認瀏覽器中的自定義彈出窗口後安裝的。
ESET表示,它在2023年11月初記錄了第一個通過PWA的網絡釣魚實例,隨後在2024年3月和5月檢測到了波次。 該技術的第一個實例是在 2023 年 7 月觀察到的。
此次披露之際,網絡安全研究人員發現了GigabudAndroid木馬的一種新變種,該木馬通過模仿Google Play商店的網絡釣魚網站或冒充各種銀行或政府實體的網站進行傳播。
「該惡意軟件具有各種功能,例如收集有關受感染設備的數據,泄露銀行憑證,收集屏幕錄像等,」博通旗下的賽門鐵克說。
在此之前,Silent Push還發現了24 個不同的控制面板,用於各種 Android 銀行木馬。
鏈接:
https://thehackernews.com/2024/08/czech-mobile-users-targeted-in-new.html
2.繞過數字錢包,允許使用被盜卡進行購買
數字錢包使用戶能夠將他們的財務信息安全地存儲在智能設備上,並輕鬆進行金融交易。
與傳統支付方式相比,這些錢包提供了更高的安全性,因為這些錢包會加密支付數據。
由於智能手機的採用率顯著增長,數字錢包因其便利性而越來越受歡迎。
Usenix 的網絡安全分析師最近發現,數字錢包被繞過,允許使用被盜卡進行購物。
漏洞是由數字支付生態系統中的去中心化授權引入的。
將受害者的錢包銀行卡添加到自己的錢包中,通過錢包和銀行之間的隱性信任繞過支付授權,並使用不同的支付類型來獲得回合訪問控制。
系統設計和信任關係中的這種安全漏洞為欺詐和未經授權的行為提供了多種可能性。
威脅行為者通過在各種交易類型中創建後門來利用支付系統中的漏洞,繞過已建立的訪問控制策略。
這種複雜的攻擊使未經授權的用戶能夠使用受害者的銀行卡進行任何金額的購買,即使這些卡已被報告被盜並被其所有者鎖定。
這種漏洞的嚴重性在於它能夠覆蓋標準安全協議,從而可能導致受害者遭受重大經濟損失並破壞對銀行系統的信任。
研究人員進行了一項深入的研究,證實美國主要金融機構和數字支付平台存在嚴重的安全漏洞。
研究人員專注於發現和測試大通銀行、美國運通和美國銀行等大型銀行以及 Apple Pay、google Pay 和 PayPal 等廣泛使用的電子錢包應用程序的漏洞。
這些發現表明了當前的金融科技系統可能存在多大的風險。 因此,他們遵循負責任的披露做法,與所有受影響的人分享了他們的發現。
此外,安全分析師已經設計並倡導了一些旨在解決這些安全漏洞的具體緩解計劃。
鏈接:
https://gbhackers.com/digital-wallets-bypassed-stolen-cards/
3.金融公司因違反美國證券交易委員會網絡規則被罰款 85萬美元
一家金融服務公司已同意支付 850,000 美元的罰款,因為美國證券交易委員會對兩起網絡安全事件處理不當的指控。
美國證券交易委員會在一份聲明中表示,在 2022 年和 2023 年的兩次獨立網絡攻擊中被盜超過 660 萬美元後,它已指控 Equiniti Trust Company 未能保護客戶資產。
黑客能夠劫持該公司與美國客戶之間的電子郵件鏈。 威脅行為者假裝為客戶工作,並要求 Equiniti Trust 「發行發行人的數百萬股新股,清算這些股票,並將收益匯給海外銀行」。
Equiniti Trust的一名員工將約478萬美元轉入位於香港的銀行賬戶。 據美國證券交易委員會稱,equiniti能夠收回約100萬美元。
另一起事件發生在 2023 年 4 月,據稱一名黑客竊取了一些 Equiniti Trust 賬戶持有人的社會安全號碼。 黑客使用社會安全號碼創建了虛假賬戶,equiniti的系統自動將虛假賬戶與屬於客戶的合法賬戶相關聯。
儘管只有社會安全號碼(而不是姓名和其他個人信息)與合法賬戶匹配,但這些虛假賬戶仍然會自動鏈接,使黑客能夠清算股票並將約 190 萬美元轉移到其他銀行賬戶。
美國證券交易委員會舊金山地區辦事處主任莫妮克·溫克勒(Monique Winkler)表示:「美國股票轉移未能提供必要的保障措施來保護其客戶的資金和證券免受網絡入侵的侵害,這些網絡入侵已成為對公司和市場幾乎持續的威脅。
「隨著威脅行為者在網絡空間變得越來越老練,轉讓代理必須採取行動,圍繞客戶資產實施和維護有效的保護措施和程序。」
上周,一家總部位於盧森堡的製造商告訴美國證券交易委員會,在一名員工被誘騙向網路犯罪分子進行幾次電匯後,約有6000萬美元被盜。
2023 年,聯邦調查局表示,BEC 欺詐是第二大破壞性的的互聯網犯罪類型,造成 29 億美元的損失。
鏈接:
https://therecord.media/financial-firm-fined-for-sec-violation
4.新的 NGate Android 惡意軟件使用 NFC 芯片竊取信用卡數據
一種名為 NGate 的新 Android 惡意軟件可以通過將近場通信 (NFC) 芯片讀取的數據中繼到攻擊者的設備來從支付卡中竊取錢財。
具體來說,NGate 使攻擊者能夠模擬受害者的卡,並進行未經授權的支付或從 ATM 提取現金。
該活動自 2023 年 11 月以來一直很活躍,並與ESET 最近的一份報告有關越來越多地使用漸進式 Web 應用程序 (PWA) 和高級 WebAPK 從捷克用戶那裡竊取銀行憑證。
在今天發布的研究中,這家網絡安全公司表示,在某些情況下,NGate 惡意軟件在活動期間還被用來直接盜竊現金。
這些攻擊從惡意文本、帶有預先錄製的消息的自動呼叫開始,或者通過惡意廣告誘騙受害者在他們的設備上安裝惡意 PWA,然後是 WebAPK。
這些 Web 應用程序被宣傳為緊急安全更新,並使用目標銀行的官方圖標和登錄界面來竊取客戶訪問憑據。
一旦通過 WebAPK 完成網路釣魚步驟,受害者就會被誘騙通過第二攻擊階段的後續步驟安裝 NGate。
NGate 使用該工具從靠近受感染設備的支付卡中捕獲 NFC 數據,然後直接或通過服務器將其中繼到攻擊者的設備。
攻擊者可以將此數據保存為其設備上的虛擬卡,並在使用 NFC 提取現金或在銷售點 (PoS) 系統進行支付的 ATM 上重播信號。
商店的攻擊者可以通過服務器接收數據,並使用受害者的卡進行非接觸式支付。
Stefanko指出,該惡意軟件還可用於克隆某些NFC門禁卡和令牌的唯一標識符,以進入限制區域。
在大多數自動取款機上取款都需要卡的PIN碼,研究人員說,這是通過社會工程受害者獲得的。
在完成 PWA/WebAPK 網路釣魚步驟後,詐騙者會打電話給受害者,假裝他們是銀行員工,告知他們影響他們的安全事件。
然後,他們發送一條帶有下載NGate鍊接的短信,據稱這是一個用於驗證他們現有支付卡和PIN的應用程序。
一旦受害者使用他們的設備掃描卡並輸入PIN碼以在惡意軟件的網絡釣魚接口上「驗證」它,敏感信息就會被轉發給攻擊者,從而實現提款。
捷克警方已經抓獲了在布拉格執行這些提款的網路犯罪分子之一,但由於這種策略可能會受到關注,因此對 Android 用戶構成了重大風險。
ESET還強調了克隆區域訪問標籤、交通票據、身份證、會員卡和其他NFC驅動的技術的可能性,因此直接的金錢損失並不是唯一的不良情況。
鏈接:
https://www.bleepingcomputer.com/news/security/new-ngate-android-malware-uses-nfc-chip-to-steal-credit-card-data/
5.對印度支付系統的勒索軟件攻擊可以追溯到 Jenkins 漏洞
研究人員發現,對印度許多銀行使用的數字支付系統的破壞性勒索軟件攻擊始於 Jenkins 中的一個漏洞,jenkins 是軟件開發人員廣泛使用的開源自動化系統。
7 月 31 日,印度所有零售支付系統的傘式組織印度國家支付公司 (NPCI)說,它正在處理由第三方技術提供商遭受勒索軟件攻擊造成的中斷。
技術提供商C-Edge Technologies為地區農村銀行提供服務,為了遏制這種影響,NPCI將該公司與NPCI運營的零售支付系統隔離開來。 隨著修復工作的開始,C-Edge的客戶無法訪問支付系統。
一天后,服務恢復,但 RansomEXX 勒索軟件團伙最終將上周的攻擊歸咎於此--在其洩密網站上寫作,它從連接到 C-Edge 的數字支付平台竊取了 142 GB。
Juniper Networks 分析了 NPCI 提交給印度計算機應急響應小組的報告。 研究人員表示,這次攻擊表明,組織需要盡快應用安全補丁並解決服務器配置錯誤,以確保安全漏洞無法被利用。
CVE-2024-23897 是 SonarSource 去年 11 月發現,該公司幫助 Jenkins 驗證了1月發布修復程序。
今年早些時候,由於 Jenkins 的廣泛部署,該漏洞在網絡安全社區敲響了警鐘。
有數以萬計的面向公眾的 Jenkins 服務器,horizon3.ai 的首席架構師 Naveen Sunkavally 表示,jenkins 是攻擊者的常見目標,因為它們通常用於存儲大量敏感信息和向其他系統提供憑據。
「導致服務器接管和憑據傾銷是可能的,但涉及攻擊者無法控制的因素,「Sunkavally說。
他指出,在網絡安全和基礎設施安全局的已知被利用漏洞目錄中,有四個與Jenkins相關的漏洞,其中有幾個以前曾被用來安裝加密礦工或促進民族國家攻擊。
包括Critical Start網絡威脅情報研究分析師Sarah Jones在內的幾位研究人員在1月份警告說,該漏洞將允許黑客竊取大量敏感數據,或者「可能完全控制組織的基礎設施」。
「除了這些直接威脅之外,此類事件還可能對組織的聲譽造成持久的損害,侵蝕信任,影響金融穩定,甚至導致法律後果。」
鏈接:
https://therecord.media/jenkins-vulnerability-india-npci-ransomware-attack
6.美國情報部門指責伊朗對特朗普競選活動進行黑客攻擊
美國聯邦調查局證實,伊朗是針對前總統唐納德·特朗普顧問的網絡攻擊的幕後黑手,這本身就是針對 2024 年美國總統競選活動的更大規模攻擊的一部分,因為伊朗政府試圖破壞即將舉行的美國大選。
特朗普的長期顧問羅傑·斯通(Roger Stone)大約一周前報告說,他的電子郵件遭到黑客攻擊,攻擊者滲透到他的賬戶並冒充他,針對特朗普的整體總統競選活動。 在一份聯合聲明中,幾個聯邦情報機構將這些「最近報道的活動損害了前總統特朗普的競選活動」歸咎於「伊朗在這個選舉周期中日益激進的活動」。
根據國家情報總監辦公室(ODNI)、聯邦調查局(FBI)和網絡安全和基礎設施安全局(CISA)昨天發表的聲明,情報界「有信心,伊朗人通過社會工程和其他努力尋求接觸直接參與兩黨總統競選活動的個人」。 「這些活動,包括盜竊和披露,旨在影響美國大選進程。
鑑於 Microsoft 和谷歌的安全研究人員已經分別發現並報告了伊朗參與破壞 2024 年美國總統大選的企圖,確認伊朗參與破壞 2024 年美國總統大選的企圖並不奇怪。 8 月 9 日,Microsoft 透露,伊朗支持的與伊斯蘭革命衛隊 (IRGC) 有聯繫的 Charming Kitten/APT42 組織使用一名前高級顧問的黑客電子郵件帳戶向總統競選中的高級官員發送惡意網絡釣魚電子郵件,以及該組織的其他威脅活動。
谷歌的威脅分析小組(TAG)上周跟進了該報告,聲稱Charming Kitten是試圖登錄大約十幾個人的個人電子郵件賬戶的幕後黑手,這些人不僅與特朗普有關聯,而且與拜登總統和副總統兼總統候選人卡瑪拉·哈里斯(Kamala Harris)有關聯。 研究人員沒有透露活動所針對的官員的名字,但表示他們包括現任和前任美國政府官員以及與各自競選活動有關的個人。
伊朗認為,今年的選舉「對其國家安全利益可能產生的影響尤其重要,增加了德黑蘭試圖影響結果的傾向。 這意味著伊朗支持的威脅組織,如Charming Kitten等,將繼續努力破壞選舉。
一些人認為,俄羅斯支持的對2016年總統競選活動的攻擊導致了特朗普的勝利,這在聯邦官員的腦海中仍然記憶猶新,他們希望避免讓外國實體在美國選舉中擁有發言權,如果他們能提供幫助的話。 官員們在聲明中說:「伊朗和俄羅斯不僅在本屆和之前的聯邦選舉周期中在美國採用了這些策略,而且在世界其他國家也採用了這些策略。
一段時間以來,安全專家一直警告說,網路犯罪分子將廣泛針對2024 年美國大選,人工智能等技術使他們更容易做到這一點。 然而,有證據表明,與以往的選舉相比,這兩個競選活動在2024年都做好了更充分的準備,以抵禦此類襲擊。
為了避免競選官員和其他選舉利益相關者忘記,情報機構在聲明中提醒他們,伊朗「越來越有利用我們的在線平台來支持其目標的意圖」,這也意味著他們共同「需要提高這些平台的復原力」。
建議的防禦方法包括使用強密碼和僅使用官方電子郵件帳戶進行公務;定期更新軟件;在與發件人確認可疑電子郵件的真實性之前,避免點擊鏈接或打開可疑電子郵件的附件;以及使用多重身份驗證。
鏈接:
https://www.darkreading.com/cyberattacks-data-breaches/us-intelligence-blames-ira-for-hack-on-trump-campaign
信飛科技有限公司
2024年8月
