安全资讯报告

 黑客在最新的供应链攻击中使用Skimmer瞄准房地产网站

攻击者利用云视频托管服务对苏富比房地产公司运营的100多个房地产网站进行供应链攻击，其中涉及注入恶意撇油器以窃取敏感的个人信息。

Palo Alto Networks的Unit42研究人员在本周发布的一份报告中说：“攻击者将Skimmer JavaScript代码注入到视频中，因此每当其他人导入视频时，他们的网站也会嵌入Skimmer代码。”

Skimmer攻击，也称为表单劫持，涉及一种网络攻击，其中不法分子将恶意JavaScript代码插入目标网站，最常见的是购物和电子商务门户网站上的结账或支付页面，以获取信用卡等有价值的信息用户输入的详细信息。

在Magecart攻击的最新版本中，该活动背后的操作员破坏了苏富比的Brightcove帐户，并通过篡改可以上传的脚本将恶意代码部署到云视频平台的播放器中，以便向视频播放器添加JavaScript恶意代码。

新闻来源：

https://thehackernews.com/2022/01/hackers-target-real-estate-websites.html

Malsmoke黑客在ZLoader网络攻击中滥用Microsoft签名验证

Check Point Research(CPR)表示，截至目前，在一项新活动中在全球范围内发现了2,100多名受害者，其中大多数人居住在美国、加拿大和印度。被称为ZLoader的恶意代码过去曾被用来传送银行木马，并与多个勒索软件毒株密切相关。

新的攻击活动被认为是在2021年11月开始的。在最初的攻击阶段，恶意软件的操作者决定使用Atera（合法的远程管理软件）作为感染系统的跳板。

虽然目前尚不清楚包含Atera的恶意软件包是如何分发的，但在安装时，Atera还会显示一个伪造的Java安装程序。但是，该文件正忙于安装将端点PC连接到攻击者帐户的代理，从而允许他们远程部署恶意负载。

值得注意的是一个签名的恶意.DLL文件，用于感染带有ZLoader的机器。该文件已被修改，并通过利用CVE-2020-1599、CVE-2013-3900和CVE-2012-0151中PE文件签名验证中的一个已知漏洞。虽然几年前发布了修复程序，但因对合法安装程序的误报导致补丁未被默认安装。

新闻来源：

https://www.zdnet.com/article/malsmoke-hackers-now-abuse-microsoft-e-signature-verification-tool-in-cyberattacks/

iOS恶意软件可假装iPhone关机以窥探摄像头、麦克风

研究人员开发了一种新技术，可以伪造iPhone关机或重启，防止恶意软件被删除，并允许黑客秘密监听麦克风并通过实时网络连接接收敏感数据。

从历史上看，当恶意软件感染iOS设备时，只需重新启动设备即可将其删除，从而将恶意软件从内存中清除。

然而，这种技术挂钩了关机和重启例程以防止它们发生，允许恶意软件实现持久性，因为设备实际上从未真正关闭过。

ZecOps的安全研究人员开发了一种木马PoC（概念证明）工具，该工具可以将特制代码注入三个iOS守护程序，通过禁用上述所有指标来假关闭。该木马通过钩住发送到“SpringBoard”（用户界面交互守护进程）的信号来劫持关闭事件。木马将发送一个代码来强制“SpingBoard”退出，而不是预期的信号，从而使设备对用户输入无响应。在这种情况下，这是完美的伪装，因为进入关机状态的设备自然不再接受用户输入。

新闻来源：

https://www.bleepingcomputer.com/news/security/ios-malware-can-fake-iphone-shut-downs-to-snoop-on-camera-microphone/

黑客从17家公司窃取了110万个客户账户

纽约州总检察长办公室(NY OAG)警告17家知名公司，他们约有110万客户的用户帐户在撞库攻击中遭到入侵。攻击者的最终目标是访问尽可能多的帐户，以窃取相关的个人和财务信息，这些信息可以在黑客论坛或暗网上出售。

威胁行为者还可以在各种身份盗用诈骗中自行使用这些信息或进行未经授权的购买。

NY OAG在监视多个在线社区后，经过几个月的“全面调查”后发现了这些受感染的在线帐户，这些社区致力于共享在以前未被发现的撞库攻击中收集的经过验证的凭据。

根据Akamai于2021年5月发布的一份报告，该公司在2020年观察到全球超过1930亿次撞库攻击，比上一年增长了45%。

Digital Shadows去年还报道称，目前有超过150亿份凭证在网上共享或出售，其中大部分属于消费者。

新闻来源：

https://www.bleepingcomputer.com/news/security/ny-oag-hackers-stole-11-million-customer-accounts-from-17-companies/

研究人员揭开有组织的金融盗窃行动背后的黑客组织——大象甲虫

网络安全研究人员揭开了一个谨慎的攻击者进行的有组织的金融盗窃行动的秘密，该行动以交易处理系统为目标，并从主要位于拉丁美洲的实体中窃取资金至少四年。

以色列事件响应公司Sygnia将恶意黑客组织的代号命名为Elephant Beetle（大象甲虫），在对目标的财务结构进行广泛研究后，该组织通过在良性活动中注入欺诈性交易来攻击银行和零售公司。

研究人员在与The Hacker News分享的一份报告中说：这种攻击以其巧妙的简单性作为一种理想的策略，可以隐藏在显眼的地方，无需开发任何漏洞。并指出该组织与Mandiant跟踪的另一个组织的重叠作为FIN13，早在2016年就与墨西哥的数据盗窃和勒索软件攻击有关的“勤奋”威胁参与者。

据说大象甲虫利用不少于80种独特的工具和脚本来执行其攻击，同时采取措施长期融入受害者的环境以实现其目标。

“与象甲虫相关的独特作案手法是他们对受害者金融系统和运营的深入研究和知识，以及他们不断寻找技术上注入金融交易的脆弱方法，最终导致重大金融盗窃。这个群体在受害者网络中的长期存在，他们经常改变和调整他们的技术和工具以继续保持相关性。

Zilberstein将此次活动的成功归因于金融机构网络中存在的遗留系统提供的巨大攻击面，这些系统可以作为入口点，从而使攻击者能够在目标网络中获得永久立足点。

初始访问是通过利用面向外部的基于Java的Web服务器（如WebSphere和WebLogic）中未修补的漏洞攻击，最终导致部署Webshell，从而实现远程代码执行和横向移动——

• CVE-2017-1000486（CVSS分数：9.8）-Primefaces应用程序表达式语言注入

• CVE-2015-7450（CVSS分数：9.8）——WebSphereApplicationServerSOAP反序列化利用

• CVE-2010-5326（CVSS分数：10.0）——SAPNetWeaverInvokerServlet漏洞利用

• EDB-ID-24963-SAPNetWeaverConfigServlet远程代码执行

新闻来源：

https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html

安全漏洞威胁

Google Chrome更新修复了37个安全漏洞

谷歌本周宣布在稳定通道中发布Chrome97，共有37个安全修复程序，其中24个针对外部研究人员报告的漏洞。

在外部报告的24个安全漏洞中，1个被评为严重级，10个为高严重性，10个为中等，3个为低级。最常见的漏洞类型是释放后使用（七个错误）和不正确的实施（八个问题）。

最严重的是CVE-2022-0096，这是存储中的一个释放后使用问题，可被利用在浏览器的上下文中执行代码。

此Chrome版本解决的10个高严重性缺陷中有五个是影响屏幕捕获、登录、SwiftShader、PDF和自动填充等组件的释放后使用错误。

其他五个是DevTools中的不当实现、V8中的类型混淆以及Bookmarks、V8和ANGLE中的堆缓冲区溢出。

一半的中等严重性问题是不正确的实现错误，影响导航、自动填充、闪烁和合成等组件。

其余缺陷包括文件管理器API中的释放后使用、自动填充和浏览器UI中的安全UI不正确、Web Serial中的越界内存访问以及文件API中的未初始化使用。

此Chrome版本中修复的低严重性错误包括Service Workers中的策略绕过以及Web Share和密码中的不当实现。谷歌在其公告中没有提到任何被恶意攻击利用的已解决漏洞。

新闻来源：

https://www.securityweek.com/chrome-97-patches-37-vulnerabilities

本田、讴歌汽车被Y2K22漏洞击中，时钟倒退到2002年

本田和讴歌汽车遇到了2022年的错误，也就是Y2K22，它将导航系统的时钟重置为2002年1月1日，而且无法更改。

从1月1日开始，讴歌和本田导航系统的日期将自动更改为2002年1月1日，时间会根据车型或地区重置为12:00、2:00、4:00或其他时间车位于。

本田和讴歌车主报告称，Y2K22漏洞影响了几乎所有旧车，包括本田Pilot、奥德赛、CRV、Ridgeline、奥德赛和讴歌MDX、RDX、CSX和TL车型。

虽然尚不清楚是什么导致了本田/讴歌错误，但在上周末，Microsoft Exchange受到了Y2K22错误的攻击，该错误导致电子邮件的交付冻结。

Microsoft的错误是由存储在int32变量中的日期引起的，该变量只能容纳2,147,483,647的最大值。但是，2022年的日期在2022年1月1日午夜的最小值为2,201,010,001，导致软件崩溃。

同样的错误可能会影响本田和讴歌汽车，但本田客服表示应该会在2022年8月自行解决，这表明这可能是一个不同的问题。

新闻来源：

https://www.bleepingcomputer.com/news/technology/honda-acura-cars-hit-by-y2k22-bug-that-rolls-back-clocks-to-2002/

未修补的HomeKit漏洞使iPhone、iPad遭受DoS攻击

一位研究人员声称，苹果未能修补一个潜在的严重漏洞，该漏洞可被用来对iPhone和iPad发起拒绝服务(DoS)攻击。这个被称为doorLock的漏洞由Trevor Spiniolas于8月10日报告给Apple，后者决定在1月1日披露他的发现。研究人员表示，这家科技巨头最初计划在今年年底推出修复程序，但在12月的最后期限改为“2022年初”。

该漏洞与HomeKit相关，HomeKit是Apple提供的用于从iPhone和iPad配置和控制智能家电的软件框架。该漏洞可由恶意应用程序、手动重命名设备或向目标用户发送带有特制设备名称的邀请来触发。

“当HomeKit设备的名称发生更改时，新名称会存储在iCloud中，如果启用了家庭数据，则会在登录同一帐户的所有其他iOS设备上更新。iOS经常在没有任何用户交互的情况下更新这些数据，”研究人员解释说。

Spiniolas表示，他成功地在运行iOS和iPadOS14.7和最新15.2版本之间的各种iPhone和iPad设备上重现了该漏洞，但他认为旧版本也可能受到影响。

Spiniolas警告说：“我相信这个问题使勒索软件在iOS上可行，这非常重要。有权访问HomeKit设备所有者的家庭数据的应用程序可能会将他们锁定在本地数据之外，并阻止他们重新登录iOS上的iCloud，具体取决于iOS版本。攻击者还可以向使用上述任何iOS版本的用户发送包含恶意数据的Home邀请，即使他们没有HomeKit设备。”

新闻来源：

https://www.securityweek.com/unpatched-homekit-vulnerability-exposes-iphones-ipads-dos-attacks