Microsoft 宣布在 Windows 中弃用 1024 位 RSA 密钥
发布时间 2024-03-203月18日,Microsoft 宣布,Windows 传输层安全 (TLS) 中将很快弃用短于 2048 位的 RSA 密钥,以提供更高的安全性。Rivest–Shamir–Adleman (RSA) 是一种非对称加密系统,它使用一对公钥和私钥来加密数据,其强度与密钥的长度直接相关。这些密钥越长 ,就越难破解。1024 位 RSA 密钥的强度约为 80 位,而 2048 位密钥的强度约为 112 位,这使得后者的分解时间长了 40 亿倍。该领域的专家认为 2048 位密钥 至少在 2030 年之前都是安全的。RSA 密钥在 Windows 中用于多种用途,包括服务器身份验证、数据加密和确保通信的完整性。Microsoft 决定将 TLS 服务器身份验证中使用的证书的 RSA 密钥最低要求提高到 2048 位或更长,这对于保护组织免受弱加密的影响非常重要。
https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-deprecation-of-1024-bit-rsa-keys-in-windows/
2. 恶意软件活动滥用 Google 网站来窃取数据 Azorult
3月19日,Netskope 威胁实验室的安全研究人员曝光了一个复杂的恶意软件活动,该活动利用 Google 协作平台的可信度来提供强大的新版本 Azorult 信息窃取程序。该恶意软件由于其逃避检测和窃取各种敏感信息的先进能力而构成了重大的网络安全风险。Azorult 是一个恶意程序,旨在窃取您的私人信息。它的目标是用户名、密码、浏览历史记录,甚至加密货币钱包数据。遗憾的是,Azorult 盗窃案件呈上升趋势,尤其是在医疗保健行业。Azorult 被认为是过去一年中攻击医疗保健行业的顶级恶意软件家族之一。然而,其最近的活动将其邪恶活动推向了新的高度,采用多方面的方法来传递其有效负载,同时逃避检测。攻击的初始阶段涉及HTML 走私,这种技术在网络攻击者中越来越流行。此方法通过使用合法的 HTML5 功能和 Javascript 直接在客户端构建恶意负载,巧妙地绕过Web 控制。巧妙的是,该活动并未将有效负载嵌入到 Javascript 本身中,而是嵌入到外部托管的单独 JSON 文件中,从而增加了额外的隐秘层。
https://securityonline.info/sneaky-malware-campaign-abuses-google-sites-to-deliver-data-stealing-azorult/
3. 针对乌克兰的新 Linux 恶意软件变种AcidPour
3月19日,SentinelLabs 的研究人员发现了酸雨恶意软件的一种新变种,称为“Acid Pour”,已在乌克兰出现。这一发现是在周末由 SentinelLabs 的副总裁 JA Guerrero-Saade 通过 X(以前的 Twitter)分享的见解得出的。最初的 AcidRain 恶意软件于 2022 年 3 月出现,特别是在“Viasat 黑客攻击”期间使用,该黑客攻击在俄罗斯入侵乌克兰开始时中断了 KA-SAT Surfbeam2 调制解调器。SentinelLabs 的首席威胁研究员TomHegel发现了专为 Linux x86 设备编译的新变体。虽然 AcidPour 与 AcidRain 在某些字符串中具有相似之处,但它在代码库中存在显着差异,代码库是针对 x86 架构而不是 MIPS 编译的。值得注意的是,适用于 x86 设备的流行 Linux 发行版包括 Ubuntu、Mint、Fedora 和 Debian。另一方面,MIPS(无互锁流水线阶段的微处理器)是一种指令集架构(ISA),它本质上定义了处理器理解并用于执行指令的语言。与 x86 类似,它是一组关于处理器如何运行的规则和规范。
https://www.hackread.com/acidrain-linux-malware-variant-acidpour-ukraine/#google_vignette
4. 新的 DEEP#GOSU 恶意软件活动利用高级策略瞄准 Windows 用户
3月18日,该攻击活动利用 PowerShell 和 VBScript 恶意软件来感染 Windows 系统并获取敏感信息。网络安全公司 Securonix 将该活动称为“DEEP#GOSU”,表示该活动可能与朝鲜国家支持的名为Kimsuky的组织有关。DEEP#GOSU中使用的恶意软件有效负载代表了一种复杂的多阶段威胁,旨在在 Windows 系统上秘密运行,尤其是从网络监控的角度来看。它的功能包括键盘记录、剪贴板监控、动态有效负载执行和数据泄露,以及使用 RAT 软件进行完全远程访问、计划任务以及使用作业自动执行 PowerShell 脚本的持久性。感染过程的一个值得注意的方面是,它利用 Dropbox 或 Google Docs 等合法服务进行命令和控制 (C2),从而允许威胁行为者在未检测到的情况下融入常规网络流量。
https://thehackernews.com/2024/03/new-deepgosu-malware-campaign-targets.html
5. 黑客在网络攻击中使用武器化 SVG 文件
3月18日,网络犯罪分子重新利用可扩展矢量图形 (SVG) 文件来传播恶意软件,这种技术随着 AutoSmuggle 工具的出现而得到了显着发展。AutoSmuggle 于 2022 年 5 月推出,有助于在 HTML 或 SVG 内容中嵌入恶意文件,使攻击者更容易绕过安全措施。滥用 SVG 文件传播恶意软件的情况可以追溯到 2015 年,勒索软件是最先通过此媒介传播的勒索软件之一。2017 年 1 月,SVG 文件被用来通过 URL 下载 Ursnif 恶意软件。2022 年发生了重大飞跃,当时 SVG 通过嵌入式 .zip 存档传播QakBot等恶意软件,展示了从外部下载到 HTML 走私技术的转变。2022 年 AutoSmuggle 在 GitHub 上的发布标志着一个转折点。该工具将可执行文件或存档嵌入到 SVG/HTML 文件中,然后在受害者打开时解密并执行。此方法巧妙地避开了通常会检测和隔离直接电子邮件附件的安全电子邮件网关(SEG)。
https://gbhackers.com/hackers-using-weaponized-svg-files-in-cyber-attacks/
6. Nissan Oceania 已确认去年遭受的数据泄露影响约 10 万人
3月18日,Nissan Oceania 已确认 2023 年 12 月遭受的数据泄露影响了约 10 万人,并已开始向他们发出通知。,该公司(包括日产汽车公司以及澳大利亚和新西兰的日产金融服务公司)透露,未经授权的第三方访问了其本地 IT 服务器并导致停机。该公司指出:“我们立即采取行动遏制违规行为,并及时向相关政府机构发出警报,包括澳大利亚和新西兰国家网络安全中心和隐私监管机构。”当时,他们无法确认事件的严重程度和类型,但几周后,Akira 勒索软件组织声称对此次攻击负责,并泄露了据称从该公司窃取的数据。该公司随后敦促客户留意异常活动和可能的诈骗,同时与政府当局和外部网络取证专家合作继续调查。
https://www.helpnetsecurity.com/2024/03/18/nissan-data-breach/
京公网安备11010802024551号