国内外简报industry briefing

国内外信息安全简报2017年第十五周

admin

1. 数百万华为手机和笔记本存在基带0day漏洞,移动通讯可被窃听并控制通话和短信收发

安全公司Comsecuris近期发现影响华为智能手机、笔记本WWAN模块和IoT组件的0day基带漏洞,攻击者利用漏洞可窃听移动通讯,控制设备打电话、发短信以及获取数据。该漏洞可被攻击者利用以无线的方式进行内存破坏攻击,不过这种攻击难度颇大。该基带漏洞存在于海思麒麟芯片Balong基带中,受影响的固件存在于数个型号的华为设备中,包括华为P10、Mate 9,荣耀9/7/5c/6。 (详情链接 )

2. “无文件”恶意软件的威力:悄无声息一夜之间从ATM机中窃取80万美元

最近,有一群黑客瞄准了俄罗斯的至少8台ATM,一夜之间就窃取了80万美元。但是攻击者使用的方法却非常奇幻。监控显示一个黑客走向ATM机,甚至都没有触碰机器就把现金取了出来。 (详情链接 )

3. 网络悍匪劫持巴西网银长达5小时,数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS并将所有的网上银行业务指向伪造的页面,从中获取受害者的信用卡信息。 (详情链接 )

4. 美国国税大学生贷款工具被黑客利用盗走3000万美金

出自IRS的数据检索工具被黑客利用后,近10万人陷于身份盗窃风险之中。该工具是家长用来给使用联邦助学金免费申请表(FAFSA)的孩子传输财务信息用的。仅2015年,就有1700万学生使用FAFSA申请助学金。 (详情链接 )

5. 达拉斯156个警报器周末半夜响起,达拉斯官方称其警报系统被黑

上周五达拉斯市内156个警笛半夜响起,而且持续了一个半小时。达拉斯官员表示,其警报系统被黑。起初达拉斯的一名发言人表示警报系统出现“故障”,并请求市民不要再拨打911因为实际并无紧急事件发生。达拉斯应急管理办公室称,警报系统周五晚间遭遇入侵,已经请求FCC协助调查入侵源头。 (详情链接 )

6. 针对中国同为数码的新型IoT恶意程序Amnesia,具备躲避虚拟机的能力

最近一款名为Amnesia的IoT僵尸网络开始以DVR设备为目标,利用一个远程代码执行漏洞进行攻击。该僵尸网络针对嵌入式系统,尤其是中国厂商同为数码(TVT Digital)的DVR产品。 (详情链接 )

7. 游戏零售公司GameStop遭遇黑客攻击,用户支付卡信息被盗

KrebsOnSecurity报道称,电子游戏零售公司GameStop遭遇网络攻击,用户支付卡数据被窃,具体多少数据被窃未知。被窃的信息包括支付卡卡号、卡片过期时间、姓名、地址和卡片CVV2。此次泄露事故影响到了Gamestop.com网站在线用户,并不影响实体店。 (详情链接 )

8. 黑了美国大选的俄罗斯黑客在西班牙被捕

4月7日,西班牙警方抓捕了一名俄罗斯公民,罪名是参与了去年美国大选黑客事件。马德里俄罗斯大使馆在4月9号向路透社证实了计算机程序员彼得·勒瓦索夫被捕一事。虽然没有公开其被捕原因,勒瓦索夫却一直被羁押待审。安全博主布莱恩·克雷布斯指认勒瓦索夫是垃圾邮件之王兼恶意软件分发者。 (详情链接 )

9. 最近揭露的Word 0day漏洞已经出现在大规模钓鱼活动中,用于部署Dridex银行木马

本周早前我们报道了MS Word 0day漏洞,利用漏洞的Word文档打开就可感染恶意程序。Proofpoint的分析文章称,已经有恶意程序在利用该0day漏洞进行大规模钓鱼活动了——Dridex银行木马已经开始采用这种部署机制。据说主要位于澳洲的数百万收件人收到了利用该0day漏洞的钓鱼邮件。钓鱼邮件中包含Word RFT附件,虽然其社工技术并不算高超,但由于该0day漏洞危害性,攻击会更为高效。 (详情链接 )

10. 2017 OWASP 10大安全漏洞初版提案出炉:新增2大漏洞类型

4月10日,开放网页应用安全计划(OWASP)发布了其2017年10大安全漏洞提案初版,提出了2个新的漏洞类型。2个新分类分别是:“攻击检测与预防不足”和“未受保护的API”。 (详情链接 )