研究人员披露AWS中利用AppSync的跨租户漏洞的详情
发布时间 2022-11-301、研究人员披露AWS中利用AppSync的跨租户漏洞的详情
据11月28日报道,研究人员披露了Amazon Web Services中的跨租户漏洞,攻击者可以利用该漏洞获得对资源未经授权的访问。该漏洞与混淆代理问题有关,是一种提权漏洞。这种攻击利用了AppSync服务来承担其他AWS账户中的IAM角色,这使得攻击者能够进入到目标组织中并访问这些账户中的资源。研究人员于2022年9月1日报告了该问题,AWS于9月6日修复了该漏洞。
https://thehackernews.com/2022/11/researchers-detail-appsync-cross-tenant.html
2、Checkmarx发现利用TikTok挑战来分发恶意软件的活动
Checkmarx在11月28日称其发现了利用TikTok“隐形挑战”分发恶意软件的活动。该挑战要求用户使用TikTok的“身体隐形”滤镜拍摄裸体,该滤镜会从视频中移除身体部分并用模糊背景取代。攻击者制作了TikTok视频,声称可以提供一种特殊的过滤器,消除TikTok的“身体隐形”效果。然而,该软件会安装WASP Stealer,它能够窃取存储在浏览器、加密货币钱包中的Discord帐户、密码和信用卡,甚至是目标计算机中的文件。
https://checkmarx.com/blog/attacker-uses-a-popular-tiktok-challenge-to-lure-users-into-installing-malicious-package/
3、BianLian团伙发布从加拿大Harry Rosen窃取的1GB数据
据媒体11月25日报道,加拿大男装连锁店Harry Rosen遭到了网络攻击。该公司尚未透露攻击类型,以及是否影响了公司的运营。BianLian声称对此次攻击负责,并发布了一个1 GB的文件作为攻击的证据,其中包括Harry Rosen的Gold+客户列表、销售信息和各种其它类型的文件。BianLian于8月份首次被发现,勒索软件是用Go语言为Windows系统开发的,其初始访问可能是通过Windows ProxyShell漏洞或SonicWall VPN固件漏洞获得的。
https://www.itworldcanada.com/article/canadian-menswear-chain-harry-rosen-confirms-cyber-attack/515325
4、假冒的SMS应用Symoo充当帐户创建服务的SMS中继
媒体11月28日称,在Google Play商店中100000次下载量的假冒Android SMS应用,秘密地充当Microsoft、Google、Instagram、Telegram和Facebook等网站的帐户创建服务的SMS中继。研究人员表示,被感染的设备随后会作为“虚拟号码”出租,用于在创建新账户时转发验证用户的一次性密码。虽然未经证实,但据信Symoo应用用于接收和转发使用ActivationPW创建帐户时生成的OTP验证码。目前,该应用仍在Google Play上可用。
https://www.bleepingcomputer.com/news/security/malicious-android-app-found-powering-account-creation-service/
5、Group-IB发现多起针对2022年FIFA世界杯的钓鱼活动
11月29日,Group-IB透露其发现多起针对卡塔尔2022年FIFA世界杯门票、官方商品和工作的诈骗和钓鱼攻击。研究人员在卡塔尔2022年官方球迷ID门户网站Hayya上发现了90多个可能遭到入侵的账户,这是为世界杯观众建立的强制性系统,可以进入卡塔尔并获得门票和交通等服务。据调查,攻击者利用RedLine和Erbium等信息窃取恶意软件获得了这些账户的密码。此外,Group-IB还确定了4种不同的诈骗和钓鱼攻击浪潮,以及大量可从Google Play商店下载的虚假应用。
https://www.group-ib.com/media-center/press-releases/scammers-on-the-pitch/
6、Kaspersky发布2023年关于消费者的威胁的预测报告
11月28日,Kaspersky发布了2023年关于消费者的威胁的预测报告。报告指出,在游戏和流媒体服务方面,用户将面临更多的游戏订阅欺诈、游戏机的短缺将被利用、攻击者将需要游戏中的虚拟货币、攻击者会利用期待已久的游戏,以及流媒体仍将是攻击者取之不尽的收入来源;在社交媒体和元宇宙方面,新的社交媒体将带来更多的隐私风险和元宇宙的开发带来的风险;来自心理健康应用程序的数据将用于精确定位的社会工程攻击;以及,在线教育平台将吸引更多犯罪活动等。
https://securelist.com/consumer-threats-2023/108112/
据11月28日报道,研究人员披露了Amazon Web Services中的跨租户漏洞,攻击者可以利用该漏洞获得对资源未经授权的访问。该漏洞与混淆代理问题有关,是一种提权漏洞。这种攻击利用了AppSync服务来承担其他AWS账户中的IAM角色,这使得攻击者能够进入到目标组织中并访问这些账户中的资源。研究人员于2022年9月1日报告了该问题,AWS于9月6日修复了该漏洞。
https://thehackernews.com/2022/11/researchers-detail-appsync-cross-tenant.html
2、Checkmarx发现利用TikTok挑战来分发恶意软件的活动
Checkmarx在11月28日称其发现了利用TikTok“隐形挑战”分发恶意软件的活动。该挑战要求用户使用TikTok的“身体隐形”滤镜拍摄裸体,该滤镜会从视频中移除身体部分并用模糊背景取代。攻击者制作了TikTok视频,声称可以提供一种特殊的过滤器,消除TikTok的“身体隐形”效果。然而,该软件会安装WASP Stealer,它能够窃取存储在浏览器、加密货币钱包中的Discord帐户、密码和信用卡,甚至是目标计算机中的文件。
https://checkmarx.com/blog/attacker-uses-a-popular-tiktok-challenge-to-lure-users-into-installing-malicious-package/
3、BianLian团伙发布从加拿大Harry Rosen窃取的1GB数据
据媒体11月25日报道,加拿大男装连锁店Harry Rosen遭到了网络攻击。该公司尚未透露攻击类型,以及是否影响了公司的运营。BianLian声称对此次攻击负责,并发布了一个1 GB的文件作为攻击的证据,其中包括Harry Rosen的Gold+客户列表、销售信息和各种其它类型的文件。BianLian于8月份首次被发现,勒索软件是用Go语言为Windows系统开发的,其初始访问可能是通过Windows ProxyShell漏洞或SonicWall VPN固件漏洞获得的。
https://www.itworldcanada.com/article/canadian-menswear-chain-harry-rosen-confirms-cyber-attack/515325
4、假冒的SMS应用Symoo充当帐户创建服务的SMS中继
媒体11月28日称,在Google Play商店中100000次下载量的假冒Android SMS应用,秘密地充当Microsoft、Google、Instagram、Telegram和Facebook等网站的帐户创建服务的SMS中继。研究人员表示,被感染的设备随后会作为“虚拟号码”出租,用于在创建新账户时转发验证用户的一次性密码。虽然未经证实,但据信Symoo应用用于接收和转发使用ActivationPW创建帐户时生成的OTP验证码。目前,该应用仍在Google Play上可用。
https://www.bleepingcomputer.com/news/security/malicious-android-app-found-powering-account-creation-service/
5、Group-IB发现多起针对2022年FIFA世界杯的钓鱼活动
11月29日,Group-IB透露其发现多起针对卡塔尔2022年FIFA世界杯门票、官方商品和工作的诈骗和钓鱼攻击。研究人员在卡塔尔2022年官方球迷ID门户网站Hayya上发现了90多个可能遭到入侵的账户,这是为世界杯观众建立的强制性系统,可以进入卡塔尔并获得门票和交通等服务。据调查,攻击者利用RedLine和Erbium等信息窃取恶意软件获得了这些账户的密码。此外,Group-IB还确定了4种不同的诈骗和钓鱼攻击浪潮,以及大量可从Google Play商店下载的虚假应用。
https://www.group-ib.com/media-center/press-releases/scammers-on-the-pitch/
6、Kaspersky发布2023年关于消费者的威胁的预测报告
11月28日,Kaspersky发布了2023年关于消费者的威胁的预测报告。报告指出,在游戏和流媒体服务方面,用户将面临更多的游戏订阅欺诈、游戏机的短缺将被利用、攻击者将需要游戏中的虚拟货币、攻击者会利用期待已久的游戏,以及流媒体仍将是攻击者取之不尽的收入来源;在社交媒体和元宇宙方面,新的社交媒体将带来更多的隐私风险和元宇宙的开发带来的风险;来自心理健康应用程序的数据将用于精确定位的社会工程攻击;以及,在线教育平台将吸引更多犯罪活动等。
https://securelist.com/consumer-threats-2023/108112/
京公网安备11010802024551号