ZeroX团伙在暗网出售石油公司沙特阿美1TB的数据;已存在16年的漏洞影响数亿台惠普、Xerox和三星打印机

发布时间 2021-07-21
1.ZeroX团伙在暗网出售石油公司沙特阿美1TB的数据


1.jpg


本月,一个名为ZeroX的黑客团伙在暗网以500万美元的价格出售沙特阿美公司1TB的数据。沙特阿拉伯石油公司简称沙特阿美(Saudi Aramco),是世界上最大的公共石油和天然气公司之一,拥有超过66000名员工,年收入近2300亿美元。ZeroX称这些数据是在2020年通过入侵沙特阿美的网络及服务器获得的,其中最早的可追溯到1993年。此次泄露的数据包括14254名员工的完整信息、各种系统的项目规范;内部分析报告、协议、信函、定价表;Scada点、Wi-Fi、IP摄像机和IoT设备的网络布局;Aramco客户名单、发票和合同等。


原文链接:

https://www.bleepingcomputer.com/news/security/saudi-aramco-data-breach-sees-1-tb-stolen-data-for-sale/


2.黑客在暗网公开含9100万条记录的墨西哥选民数据库


2.jpg


黑客最近在暗网上公开了2021年的整个墨西哥选民数据库,包含9100万条记录。国家选举研究所(INE)称他们已经向当局报告此事件,并表示其在2020年5月8日就向选举犯罪特别检察官(FEDE)报告了访问和不当使用与选举登记册相关数据的问题。这并不是INE第一次发生数据泄露事件,早在2016年曾泄露过93424710名墨西哥公民的选民登记信息。


原文链接:

https://www.databreaches.net/how-many-leaks-have-there-been-of-mexicos-voter-database/


3.已存在16年的漏洞影响数亿台惠普、Xerox和三星打印机


3.jpg


SentinelLabs披露在HP、Samsung和Xerox打印机驱动程序中发现的一个严重的缓冲区溢出漏洞。该漏洞自2005年就开始存在,追踪为CVE-2021-3438,CVSS评分为8.8,影响超过380款的惠普和三星打印机,以及12种Xerox打印机。该漏洞位于打印驱动程序安装程序包SSPORT.SYS中,本地攻击者可以利用该漏洞将权限提升到SYSTEM并在内核模式下运行代码,来安装、查看、更改、加密或删除数据等。目前,该漏洞已经修复。


原文链接:

https://www.zdnet.com/article/hp-patches-vulnerable-printer-driver-impacting-millions-of-devices/


4.新的MosaicLoader可利用Windows Defender绕过检测


4.jpg


Bitdefender研究人员发现新恶意软件MosaicLoader可利用Windows Defender绕过检测。该恶意软件通过搜索引擎结果伪装成破解软件,具有复杂的内部结构,旨在绕过恶意软件分析。其模仿类似于合法软件的文件信息并使用小块和无序执行顺序进行代码混淆。在成功感染目标后,最初的基于Delphi的dropper会从远程服务器获取下一阶段的payload,并在Windows Defender中为下载的可执行文件添加本地排除项以绕过杀毒软件的扫描。


原文链接:

https://thehackernews.com/2021/07/this-new-malware-hides-itself-among.html    


5.NSO Group利用iMessage中0day安装间谍软件Pegasus


5.jpg


大赦国际和Forbidden Stories披露以色列NSO Group利用iMessage中的零点击0day安装间谍软件Pegasus。研究人员称,印度记者(CODE INJRN1)运行了最新版本iOS 14.6的iPhone XR于2021年6月16日遭到入侵,6月24日,一活跃人士(CODE RWHRD1)的iPhone X也遭到了入侵。苹果公司目前正在调查此事,并表示像上述那样的攻击非常复杂,开发成本为数百万美元,通常有效时间很短,并且仅用于针对特定的个人。


原文链接:

https://www.bleepingcomputer.com/news/security/iphones-running-latest-ios-hacked-to-deploy-nso-group-spyware/


6.Unit42发布利用Trap Flag绕过沙盒的攻击的分析报告


6.jpg


Unit 42在Intel CPU寄存器中发现了一个特殊的bit——陷阱标志(Trap Flag),恶意软件通常会利用该位来逃避沙箱检测。该报告分析了恶意软件如何在CPU寄存器中只用一个bit的情况下检测虚拟机或物理机CPU行为的差异。陷阱标志(TF)是Intel x86 CPU架构的EFLAGs寄存器中的第8个bit。其中针对葡萄牙用户的Lampion使用x86汇编指令以及最少的Windows API调用就实现了所有系统的检查,当它确认在VM中运行后就会自动终止。


原文链接:

https://unit42.paloaltonetworks.com/single-bit-trap-flag-intel-cpu/