欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  
主页 > 安联智库 > 安联周报 > 安全周报(05.11-05.17)

安全周报(05.11-05.17)

安联智库WTX
 

1


2019 年之前生产的任何 PC 都易受到“Thunderspy”攻击


埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露,由于常用的 Thunderbolt 端口存在缺陷,2019 年之前生产的所有 PC 都可能遭到黑客入侵。即使 PC 处于睡眠模式或处于锁定状态,这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外,它还可以从加密驱动器中窃取数据。

Thunderspy 属于 evil-maid 攻击类别,这意味着它需要对设备进行物理访问才能对其进行攻击,因此与可以远程执行的其他攻击相比,它的利用程度较低。但是另一方面,Thunderspy 还是一种隐身攻击,在成功执行入侵之后,犯罪分子几乎不会留下任何利用的痕迹。

事实上,早在 2019 年 2 月,一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年,英特尔发布了一种可以防止 Thunderspy 攻击的安全机制,称为内核 DMA 保护(Kernel Direct Memory Access Protection)。

不过该机制在较早的配置中未实现,这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是,当苹果 MacOS 笔记本启动到 Bootcamp 时,所有的 Thunderbolt 安全都会被禁用。

Ruytenberg 指出,所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备,也都在一定程度上易受攻击。

Thunderspy 漏洞无法在软件中修复,会影响到未来的 USB 4 和 Thunderbolt 4 等标准,最终将需要对芯片进行重新设计。

up-cbcf0e6cbb689c370d25ef56d6b8b64f70b.webp.jpg




2


世界最大主权财富基金遭遇网络攻击:被骗走1000万美元


作为全球最大的主权财富基金Norfund基金因网络诈骗,被骗子轻而易举的骗走1000万美元,而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。

据报道,挪威主权基金Norfund(也被称为挪威国家基金)的资金来源于著名的北海油田收益,目前市值超过1万亿美元。该基金表示,有黑客操纵了该组织的一笔交易,将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户,结果导致该基金在3月份被骗1亿克朗(约为1000万美元)。该基金表示,这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。

Norfund周三在谈到这起网络攻击诈骗案时表示:“在这段时间里,诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式,操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户,说明整个交易过程对票据的把关不过关。

其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。


640 (1).png

3


欧洲多台超级计算机中毒!沦为挖矿肉鸡


据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。


同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。


本周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。


周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。


目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。


虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。


s_95f8062352834e558acea1090c054896.png

4


英国电网管理者遭到网络攻击

英国电网重要的管理者埃莱克森(Elexon)确认,该系统已于周四下午受到网络攻击,但用于控制电力市场的关键系统并未受到影响。

该公司在其网站上发布的一条短消息中表示,该事件仅影响其内部IT网络和员工笔记本电脑。

该公司的电子邮件服务器也受到了影响,并已被删除,从而使员工无法进行关键通信。

Elexon认为,管理英国电力运输的系统不受影响。

在当天晚些时候发布的后续消息中,该公司表示已经确定了事件的根本原因,并且正在努力恢复其内部网络和员工笔记本电脑。
该公司没有具体说明网络攻击的性质,但专家认为,这是勒索软件事件,原因是破坏性性质导致员工无法使用笔记本电脑和公司的电子邮件服务器。


640.webp (3).jpg

5


支付宝提醒:千万不要参与“跑分”“一元购”


最近有部经侦剧挺火,里边说到的“洗钱”之类的金融犯罪。

支付宝提醒,大家平时也要留意:不要主动参与赌博,也不要出借、出售自己实名认证的账户、手机号,还有银行卡,因为坏人可能会利用你的身份,用于洗钱或者诈骗。这么做不仅助长犯罪,也会给自己的账号带来风险。

支付宝还曝光了“跑分”“一元购”这种赌博骗局:

跑分:

“公司跑流水申请贷款,收闲置xx账号,200元一个本人配合也可以,收1万返200...”很多“跑分”平台打着做任务的名义,利用用户的支付账号进行赌博、欺诈、洗钱等操作,而用户可能存在个人信息泄露、账号被盗、被冒用贷款等风险,甚至涉嫌犯罪行为。

一元购:

“一元购,简单来说,就是网站上把所有商品都拆分成一元一份。一个号码可以购买多份,最后再由系统公布中奖号码。”这种行为表面上是销售实物商品,实际上销售的是中奖机会,中奖结果由偶然性决定,具有赌博性质,是一种变相赌博行为。对纯粹以一元价格销售获取大奖机会的网络“一元购”,可以认定为赌博。


640.webp (4).jpg




勒索病毒




1


美国最大ATM供应商遭勒索软件攻击


美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。

攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。


640.png




暂无

您可能还会对下面的文章感兴趣:

相关文章