The Hacker News 網(wǎng)站披露，攻擊者在 npm 開(kāi)源軟件包存儲庫中“投放”大量偽造的軟件包，這些軟件包導致了短暫拒絕服務(wù)（DoS）攻擊。

Checkmarx 的研究人員 Jossef Harush Kadouri 在上周發(fā)布的一份報告中表示，攻擊者利用開(kāi)源生態(tài)系統在搜索引擎上的良好聲譽(yù)，創(chuàng )建惡意網(wǎng)站并發(fā)布帶有惡意網(wǎng)站鏈接的空包，此舉可能導致拒絕服務(wù)（DoS）攻擊，使 NPM 變得極不穩定，甚至偶爾會(huì )出現服務(wù)不可用的“錯誤”。在最近觀(guān)察到的一波攻擊活動(dòng)中，軟件包版本數量達到了 142 萬(wàn)個(gè)，顯然比 npm 上發(fā)布的約 80 萬(wàn)個(gè)軟件包數量大幅上升。

Harush Kadouri 解釋稱(chēng)攻擊者“借用”開(kāi)源存儲庫在搜索引擎中排名創(chuàng )建流氓網(wǎng)站，并在 README.md 文件中上傳空的 npm 模塊和指向這些網(wǎng)站的鏈接。由于開(kāi)源生態(tài)系統在搜索引擎上享有盛譽(yù)，任何新的開(kāi)源軟件包及其描述都會(huì )繼承這一良好聲譽(yù)，并在搜索引擎中得到很好的索引，因此毫無(wú)戒心的用戶(hù)更容易看到它們。

據外媒報道，全球硬件巨頭微星（Micro-Star）近日已被一個(gè)名為“Money Message”的勒索軟件團伙列入受害者名單，該勒索團伙發(fā)布了微星CTMS和ERP數據庫的截圖，聲稱(chēng)竊取了微星源代碼、密鑰以及BIOS固件等各種敏感信息。據悉，微星遭竊取的文件總大小約為1.5TB。Money Message威脅稱(chēng)，要是微星不在一周內支付400萬(wàn)美元（約合人民幣2750萬(wàn)元）的贖金，他們就將公開(kāi)泄露所有竊取得手的文件。

“去跟你的經(jīng)理說(shuō)，我們有MSI源代碼，包括開(kāi)發(fā)bios的框架，我們還有私鑰，可以登錄這些bios的任何自定義模塊，并將其安裝在帶有該bios的PC上?！?Money Message的一位黑客對微星代理說(shuō)道。

在這之后，微星在其官網(wǎng)上發(fā)布了一則聲明，確認其最近有部分信息系統遭受了網(wǎng)絡(luò )攻擊。微星表示其信息部門(mén)發(fā)現網(wǎng)絡(luò )異常后，及時(shí)啟動(dòng)了相關(guān)防御機制、采取恢復措施，并向政府執法機構和網(wǎng)絡(luò )安全部門(mén)報告了這一事件。目前，受影響的系統已逐步恢復正常運行，對金融業(yè)務(wù)沒(méi)有重大影響。另外，微星還特別敦促用戶(hù)僅從其官方網(wǎng)站獲取固件/ BIOS更新，并且不要使用官網(wǎng)以外來(lái)源的文件。

安全研究人員和專(zhuān)家警告稱(chēng)，Windows 消息隊列 (MSMQ) 中間件服務(wù)中存在一個(gè)高危漏洞 CVE-2023-21554。利用該漏洞，攻擊者能夠在無(wú)用戶(hù)交互的情況下實(shí)現遠程代碼執行，進(jìn)而接管服務(wù)器資源。

Windows 消息隊列 (MSMQ) 在所有Windows版本里都可用，主要用于為應用程序提供“消息傳遞保證”網(wǎng)絡(luò )功能、啟動(dòng) PowerShell 或控制面板。值得注意的是，該服務(wù)通常在安裝企業(yè)應用程序時(shí)在后臺啟用，即使應用程序卸載后也會(huì )繼續運行。例如，MSMQ 會(huì )在 Exchange Server 安裝期間自動(dòng)啟用。

據 Check Point Research 稱(chēng)，超過(guò) 360,000 臺運行 MSMQ 服務(wù)的 Internet 可用服務(wù)器可能容易受到攻擊。目前已有10個(gè)不同的IP地址開(kāi)始掃描互聯(lián)網(wǎng)上開(kāi)放的服務(wù)器。雖然微軟已經(jīng)修復了這個(gè)漏洞，但該公司還建議無(wú)法緊急應用更新的管理員禁用 Windows MSMQ 服務(wù)。無(wú)法禁用 MSMQ 或安裝 Microsoft 修補程序的組織可以使用防火墻規則阻止來(lái)自不受信任來(lái)源的 1801/TCP 連接。

沃爾沃作為一家瑞典豪華汽車(chē)制造商，每年能夠銷(xiāo)售近70萬(wàn)輛汽車(chē)。沃爾沃的客群基本上是一些有一定經(jīng)濟實(shí)力的客戶(hù)，這對于一些犯罪分子來(lái)說(shuō)無(wú)疑是塊極具吸引力的“肥肉”。據網(wǎng)絡(luò )新聞研究小組調查發(fā)現，巴西的沃爾沃汽車(chē)零售商Dimas Volvo在近一年時(shí)間里都在持續通過(guò)其網(wǎng)站泄露敏感文件，這些信息可能會(huì )被一些不懷好意的人拿來(lái)用于劫持官方通信渠道或者直接入侵公司的系統。美國數字安全調查媒體的相關(guān)人員聯(lián)系了Dimas Volvo和負責沃爾沃總部數據保護的相關(guān)官員，了解到目前這個(gè)信息泄漏的問(wèn)題已經(jīng)得到了妥善的解決。

在泄露的數據中，研究人員還發(fā)現儲存網(wǎng)站源代碼的Git庫的URL，會(huì )直接透露出數據庫的名稱(chēng)和創(chuàng )建者。這些攻擊者僅需一個(gè)密碼，再配合泄露的憑證信息就能強行訪(fǎng)問(wèn)數據庫，這比同時(shí)去猜測出用戶(hù)名以及密碼之后才能訪(fǎng)問(wèn)數據庫的方式要快得多。

攻擊者可以利用有關(guān)網(wǎng)站結構的信息來(lái)確定開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中所采用到的技術(shù)，然后把整個(gè)過(guò)程簡(jiǎn)化一下，就可以直接達到直接入侵網(wǎng)站的目的。

The Hacker News 網(wǎng)站披露，研究人員發(fā)現微軟 Azure 中存在一個(gè)”設計缺陷 ”，一旦攻擊者成功利用，便可以訪(fǎng)問(wèn)存儲帳戶(hù)，甚至可在內部系統環(huán)境中橫向移動(dòng)，執行遠程代碼。

The Hacker News 在與 Orca 分享的一份新報告中表示，攻擊者可以利用該缺陷，通過(guò)操縱 Azure 功能竊取更高特權身份的訪(fǎng)問(wèn)令牌、橫向移動(dòng)、秘密訪(fǎng)問(wèn)關(guān)鍵業(yè)務(wù)資產(chǎn)和執行遠程代碼(RCE)，甚至有可能濫用和利用 Microsoft 存儲帳戶(hù)。

從微軟的說(shuō)法來(lái)看，Azure 在創(chuàng )建存儲帳戶(hù)時(shí)會(huì )生成兩個(gè) 512 位的存儲帳戶(hù)訪(fǎng)問(wèn)密鑰，這些密鑰可用于通過(guò)共享密鑰授權或通過(guò)使用共享密鑰簽名的 SAS令牌授權對數據的訪(fǎng)問(wèn)。更危險的是，這些訪(fǎng)問(wèn)密鑰可以通過(guò)操縱 Azure 功能來(lái)竊取，這就給威脅攻擊者留下了升級權限并接管系統的“后門(mén)”。因為在部署 Azure Function 應用程序時(shí)會(huì )創(chuàng )建一個(gè)專(zhuān)用存儲帳戶(hù)，如果使用管理員身份來(lái)調用 Function 應用程序，則可能會(huì )濫用該標識來(lái)執行任何命令。

近日，歐洲刑警組織（Europol）和歐洲司法組織（Eurojust）舉行一次聯(lián)合行動(dòng)，逮捕了某大型網(wǎng)絡(luò )投資詐騙集團五名詐騙分子，該集團至少勒索了 3.3 萬(wàn)名受害者，合計獲得非法收入超 8900萬(wàn)歐元（約合 9800 萬(wàn)美元）。

從披露的案件資料來(lái)看，該詐騙分子集團通過(guò)網(wǎng)絡(luò )和社交媒體發(fā)布廣告引誘投資者，并承諾巨額利潤誘騙受害者進(jìn)行最高 250 歐元的小額初始投資。歐洲刑警組織表示，欺詐活動(dòng)發(fā)生在 2019 年至 2021 期間，2021 年，詐騙分子開(kāi)始擴大詐騙范圍，分別在保加利亞和羅馬尼亞設立了呼叫中心，冒充所謂的“個(gè)人財務(wù)顧問(wèn)”聯(lián)系受害者，并承諾如果投資便可以獲得高額利潤回報，事實(shí)上，一旦受害者打款，錢(qián)便立刻被轉存至犯罪者的銀行賬戶(hù)中。最后，警方披露詐騙分子在烏克蘭、德國、西班牙、拉脫維亞、芬蘭和阿爾巴尼亞等多個(gè)歐洲國家建立呼叫中心，通過(guò)冒充加密貨幣、股票、債券、期貨和期權投資合法門(mén)戶(hù)，并許以高額回報，誘騙潛在投資者進(jìn)行投資。

近日，卡巴斯基的最新發(fā)現顯示，一個(gè)新的QBot惡意軟件正在利用被劫持的商業(yè)電子郵件，分發(fā)惡意軟件。QBot（又名Qakbot或Pinkslipbot）是一個(gè)銀行木馬，從2007年開(kāi)始活躍。除了從網(wǎng)絡(luò )瀏覽器中竊取密碼和cookies，它還作為后門(mén)注入有效載荷，如Cobalt Strike或勒索軟件。

該惡意軟件通過(guò)網(wǎng)絡(luò )釣魚(yú)活動(dòng)傳播，并不斷更新，通過(guò)加入反虛擬機、反調試和反沙盒技術(shù)以逃避檢測。正因為這樣，它也成為2023年3月最流行的惡意軟件。早期，QBot的傳播方式是通過(guò)受感染的網(wǎng)站和盜版軟件傳播的?，F在則是通過(guò)銀行木馬已經(jīng)駐留在其計算機上的惡意軟件，社交工程和垃圾郵件傳遞給潛在的受害者。電子郵件網(wǎng)絡(luò )釣魚(yú)攻擊并不新鮮。其目的是誘使受害者打開(kāi)惡意鏈接或惡意附件，一般情況下，這些文件被偽裝成一個(gè)微軟Office 365或微軟Azure警報的封閉式PDF文件。

打開(kāi)該文件后，就會(huì )從一個(gè)受感染的網(wǎng)站上檢索到一個(gè)存檔文件，該文件又包含了一個(gè)混淆的Windows腳本文件（.WSF）。該腳本包含一個(gè)PowerShell腳本，從遠程服務(wù)器下載惡意的DLL。下載的DLL就是QBot惡意軟件。