标记为“凭据”的条目
在公共代码中保留身份验证凭据
本周来自GitGuardian安全公司的研究人员 报道 在提交给PyPI(Python编程语言的官方代码库)的45万个项目中发现了近4000个隐藏在其中的独特秘密。 近3000个项目至少包含一个独特的秘密。 许多秘密被多次泄露,使泄露的秘密总数达到近5.7万个。
[…]
公开的凭据提供了对一系列资源的访问,包括在企业网络中配置和管理帐户的Microsoft Active Directory服务器、允许单点登录的OAuth服务器、SSH服务器以及用于客户通信和加密货币的第三方服务。 示例包括:
Azure Active Directory API密钥 GitHub OAuth应用程序密钥 MongoDB、MySQL和PostgreSQL等提供程序的数据库凭据 Dropbox键 验证0密钥 SSH凭据 Coinbase凭据 Twilio主凭据。
FBI(及其他机构)关闭Genesis市场
自2018年以来,Genesis Market的口号是“我们的商店出售带有日志、Cookie和真实指纹的机器人”。客户可以通过多种选择搜索受感染的系统,包括通过互联网地址或与被盗凭证相关的特定域名。
但今天早些时候,与Genesis相关的多个域名的主页被美国联邦调查局(FBI)的查封通知所取代,该通知表示,这些域名是根据美国威斯康星州东区地方法院(U.S.District Court for the Eastern District of Wisconsin)发出的搜查令被查封的。
威斯康星州东区美国检察官办公室没有回应置评请求。 联邦调查局拒绝置评。
但接近调查的消息人士告诉KrebsOnSecurity,美国、加拿大和欧洲各地的执法机构目前正在对数十名被认为支持Genesis的个人发出逮捕令,他们要么维护网站,要么出售受感染系统的服务机器人日志。
扣押通知包括来自几个国家的执法实体的印章,包括澳大利亚、加拿大、丹麦、德国、荷兰、西班牙、瑞典和英国。
Bizarro Banking特洛伊木马
…该程序可以通过两种方式交付——要么通过垃圾邮件中包含的恶意链接,要么通过特洛伊木马应用程序。 研究人员写道,使用这些鬼鬼祟祟的方法,特洛伊木马操作员会将恶意软件植入目标设备,在目标设备上安装一个复杂的后门,“包含100多个命令,允许攻击者窃取网上银行账户凭证”。
后门有许多内置命令,允许操作目标个人,包括允许获取个人登录信息的击键记录程序。 在某些情况下,恶意软件也可以让罪犯侵占受害者的加密钱包。
Codecov Bash上传器中发现后门
Codecov表示,该漏洞允许攻击者导出存储在其用户持续集成(CI)环境中的信息。 然后,这些信息被发送到Codecov基础设施之外的第三方服务器,”该公司警告说。
Codecov的Bash Uploader也用于多个上传器中——Github、Codecov CircleCl Orb和Codecov Bitrise Step的Codecov actions上传器,该公司表示这些上传器也受到了漏洞的影响。
据Codecov称,Bash Uploader脚本的修改版本可能会影响:
执行Bash Uploader脚本时,我们的客户通过其CI运行程序传递的任何凭证、令牌或密钥都可以访问。 可以使用这些凭据、令牌或密钥访问的任何服务、数据存储和应用程序代码。 使用Bash Uploaders将覆盖范围上传到CI中的Codecov的存储库的git远程信息(原始存储库的URL)。
国家安全局关于身份验证攻击(与太阳风违规有关)
恶意网络参与者滥用联邦身份验证环境中的信任来访问受保护的数据。 这种剥削发生在行为者获得了受害者内部网络的初始访问权限之后。 参与者利用本地环境中的特权访问来破坏组织用于授予对云和本地资源的访问权限和/或破坏管理员凭据与云资源管理能力的机制。 参与者演示了两组策略、技术和过程(TTP),以获取对受害者网络云资源的访问,通常特别关注组织电子邮件。
在第一个TTP中,参与者破坏联邦SSO基础设施的本地组件,并窃取用于签署安全断言标记语言(SAML)令牌(TA0006、T1552、T1552.004)的凭据或私钥。 然后,参与者使用私钥伪造可信的身份验证令牌来访问云资源。 最近,NSA Cybersecurity Advisory警告说,参与者利用VMware Access和VMware Identity Manager中的漏洞执行此TTP并滥用联合SSO基础架构。 虽然这一TTP的例子以前可能被归因于民族国家行动者,但许多行动者可能正在利用这一TTP实现其目标。 这种SAML伪造技术至少自2017年以来就为网络参与者所知和使用。
在第一个TTP的变体中,如果恶意网络参与者无法获得匿名代理签名密钥,他们将尝试在云租户中获得足够的管理权限,以添加恶意证书信任关系来伪造SAML令牌。
在第二个TTP中,参与者利用受损的全局管理员帐户将凭据分配给云应用程序服务主体(允许调用应用程序以访问其他云资源的云应用程序的标识)。 然后,参与者调用应用程序的凭据来自动访问云资源(通常是电子邮件),否则参与者很难访问这些资源,或者很容易被发现是可疑的(T1114,T1114.002)。
Android应用程序窃取Facebook凭据
在被删除之前,这25个应用程序的总下载次数超过234万次。
这些恶意应用程序是由同一个威胁组织开发的,尽管提供了不同的功能,但在幕后,所有应用程序的工作原理都是一样的。
根据法国网络安全公司Evina今天与ZDNet分享的一份报告,这些应用程序被视为步进计数器、图像编辑器、视频编辑器、壁纸应用程序、手电筒应用程序、文件管理器和手机游戏。
这些应用程序提供了合法的功能,但也包含恶意代码。 Evina研究人员表示,这些应用程序中包含的代码可以检测用户最近打开的应用程序以及手机前景中的应用程序。
表情恶意软件造成物理伤害
Emotet有效载荷是在Fabrikam系统上交付和执行的,这是微软在案例研究中给受害者的一个假名,五天后,该员工的用户凭据被过滤到攻击者的命令和控制(C&C)服务器。
在此之前,威胁行为人使用被盗的凭据向其他Fabrikam员工及其外部联系人发送钓鱼电子邮件,越来越多的系统受到感染,并下载更多恶意软件有效负载。
恶意软件通过窃取在新系统上进行身份验证的管理员帐户凭据,进一步在网络中传播,而没有引发任何危险信号,后来这些凭据被用作危害其他设备的垫脚石。
自第一个被诱杀的附件打开后的8天内,尽管IT部门做出了努力,Fabrikam的整个网络还是瘫痪了,因为蓝屏导致PC过热、冻结和重新启动,而由于Emotet吞噬了所有带宽,互联网连接速度减慢至爬行。