微软宣布新指南：强化防御Kerberoasting攻击

首页 > 清静研究 > 清静转达 > 清静简讯

微软宣布新指南：强化防御Kerberoasting攻击

宣布时间 2024-10-15

1. 微软宣布新指南：强化防御Kerberoasting攻击

10月13日，微软近期宣布了新指南，旨在资助组织有用防御日益严重的 Kerberoasting 攻击，这种攻击主要针对 Active Directory (AD) 情形。Kerberoasting 使用 Kerberos 身份验证协议窃取 AD 凭证，使攻击者能够普遍会见敏感资源。微软指出，随着网络威胁的一直演变，清静专业职员必需紧跟最新的攻击前言和防御机制。由于 GPU 加速密码破解手艺的运用，Kerberoasting 攻击的有用性正在提升。在 Kerberoasting 攻击中，攻击者通过请求并破解使用账户密码哈希加密的服务票证，来获取账户密码及未经授权的会见权限。特殊是密码较弱的账户和使用较弱加密算法（如即将被弃用的 RC4）的账户，更易受到攻击。微软妄想在 Windows 11 24H2 和 Windows Server 2025 的未来更新中默认禁用 RC4。为减轻 Kerberoasting 危害，微软建议接纳多项步伐，包括使用组托管服务帐户 (gMSA) 或委托托管服务帐户 (dMSA)、强制使用强密码、设置服务帐户使用 AES 加密，以及审核并删除不须要的服务主体名称 (SPN)。别的，微软还提供了检测 Kerberoasting 攻击的指导。

https://securityonline.info/microsoft-issues-guidance-to-combat-rising-kerberoasting-attacks/

2. Water Makara使用新逃避手艺针对巴西企业安排Astaroth恶意软件

10月14日，Trend Micro研究职员发明，一个名为Water Makara的威胁行为者整体针对巴西企业举行的恶意运动激增，使用了一种新的逃避手艺来安排污名昭著的Astaroth银行恶意软件。此次鱼叉式网络垂纶运动主要针对拉丁美洲的公司，尤其是巴西的制造公司、零售公司和政府机构，通过冒充官方税务文件并使用小我私家所得税申报的紧迫性诱骗用户下载恶意软件。攻击者使用mshta.exe执行混淆的JavaScript下令，与C&C服务器建设毗连。ZIP文件附件中包括恶意的LNK文件，当用户执行时，会运行嵌入的恶意JavaScript下令。除了LNK文件，ZIP文件还包括另一个具有混淆JavaScript下令的文件。在此次运动中，攻击者使用了多个文件扩展名，如.pdf、.jpg等，以撒播恶意软件。解码后的JavaScript下令展现了一个恶意URL，通过GetObject函数实验执行或检索工具，可能导致其他恶意操作。Water Makara的鱼叉式网络垂纶运动依赖于用户点击恶意文件，因此公司应接纳最佳实践，如清静培训、强密码战略、多因素身份验证、坚持清静解决计划更新等，以增强对此类威胁的防御。

https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

3. Gmail用户遭AI增强型网络垂纶攻击，专家亲自揭秘圈套

10月14日，Gmail作为全球最盛行的电子邮件服务，拥有凌驾25亿用户，也因此成为了恶意行为者入侵账户和窃取敏感数据的重点目的。微软清静产品专家、CloudJoy首创人Sam Mitrovic最近忠言称，一种重大的人工智能增强型网络垂纶妄想正针对Gmail用户，就连他自己也中了招。圈套从一封声称来自谷歌的电子邮件最先，邮件诱导他点击链接进入一个仿真的诓骗网站，妄想窃取登录凭证。接着，他又收到了来自“Google”的电话，声称检测到其账户保存异�Ｔ硕�。只管Mitrovic对来电号码举行了在线搜索，并确认了其正当性，但在仔细检查发件人的电子邮件地点后，他敏锐地发明地点伪装成了Google官方域名。别的，Mitrovic还意识到，骗子的声音过于完善，可能是由人工智能天生的。他以为，这是全球规模内的黑客运动，而他只是众多受害者之一。因此，他向公众发出警示，提醒各人诈骗手段日益重大且令人信服，小我私家应坚持高度小心，举行基本检查或向信托的人求助，以提防此类攻击。

https://securityonline.info/gmail-scam-alert-hackers-spoof-google-to-steal-credentials/

4. 思科视察数据泄露指控：疑遭黑客入侵

10月14日，思科公司证实正在视察一项指控，指控称一名威胁行为者在黑客论坛上出售据称是从思科窃取的数据，体现公司可能已遭受入侵。思科讲话人体现，公司已相识到相关报道，并已启动视察以评估这一说法的真实性，但现在视察仍在举行中。此前，名为“IntelBroker”的威胁行为者声称，他与另外两名黑客于2024年6月10日入侵了思科系统，并窃取了大宗开发职员数据。据黑客论坛的帖子显示，泄露的数据包括种种项目源代码、硬编码凭证、证书、客户SRC、思科神秘文档等。IntelBroker还分享了涉嫌被盗数据的样本。值得注重的是，6月份IntelBroker已最先出售或泄露包括T-Mobile、AMD和Apple在内的多家公司的数据。据新闻人士透露，这些数据可能是从第三方DevOps和软件开发托管服务提供商处窃取的。然而，现在尚不清晰思科此次泄密事务是否与此前6月份的泄密事务有关。

https://www.bleepingcomputer.com/news/security/cisco-investigates-breach-after-stolen-data-for-sale-on-hacking-forum/

5. 朝鲜黑客使用FASTCash新型Linux变种偷取金融机构资金

10月14日，朝鲜黑客正使用FASTCash恶意软件的新型Linux变种，针对金融机构的支付转换系统实验未经授权的现金提取。FASTCash先前主要针对Windows和IBM AIX系统，但最新发明的Ubuntu 22.04 LTS版本变种显示黑客扩大了攻击规模。自2016年以来，FASTCash已被用于在30多个国家发动ATM取款攻击，窃取数万万美元，CISA于2018年首次忠言该威胁，并将其归罪于朝鲜政府支持的黑客组织“隐藏眼镜蛇”。2020年，美国网络司令部将FASTCash 2.0与APT38（Lazarus）联系起来，一年后，三名朝鲜人因涉嫌加入此类妄想被起诉，窃取金额凌驾13亿美元。HaxRob发明的新变种于2023年6月首次提交给VirusTotal，它以共享库形式注入到支付交流服务器历程中，阻挡并使用ISO8583生意信息，将生意拒绝响应替换为批准，并包括随机金额，使黑客能够从ATM中提取现金。该Linux变体在VirusTotal上尚未被检测到，批注其可逃避大大都清静工具。别的，HaxRob还报告了FASTCash新的Windows版本的泛起，显示黑客正在起劲刷新其工具集。

https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/

6. Gryphon Healthcare遭遇数据泄露，40万人信息或遭窃取

10月14日，Gryphon Healthcare是一家总部位于休斯顿的医疗保健服务提供商，遭遇了一起可能涉及多达40万人小我私家信息泄露的事务。不法分子可能进入了Gryphon一名客户的系统，掌握了患者的姓名、出生日期、地点、社会包管号以及医疗数据，包括诊断、治疗、处方和包管信息等。Gryphon体现很是重视信息清静，只管没有证据批注数据已被滥用，但已向所有受害者提供12个月的信用监控和身份�；し�。据称，这393,358名小我私家的数据由Gryphon为其提供医疗账单服务的组织存储，可能包括医院、急诊室、影像中心等多种医疗机构。Gryphon在发明事务后连忙接纳步伐增强清静性，但并未详细说明事务性子。未来几个月，随着状师们制订整体诉讼妄想，Gryphon可能不得不披露更多信息。

https://www.theregister.com/2024/10/14/gryphon_healthcare_breach/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究