Avast发布有关谷歌 Play上恶意App的分析报告;FBI称黑客利用SonarQube窃取政府和企业源代码

发布时间 2020-10-28
1.Avast发布有关谷歌 Play上恶意App的分析报告


1.jpg


杀毒App制造商Avast发布有关谷歌 Play上恶意App的分析报告。该报告称谷歌 Play商店中有21个感染了HiddenAds恶意App的Android应用程序,谷歌已于周末删除了其中的15个。Avast恶意App分析师表示,这些应用模仿了流行的游戏,一旦用户安装了这些应用,HiddenAds就会隐藏该应用程序的图标使用户难以进行删除,然后开始用广告轰炸用户。Avast表示,截至上周这些应用程序已达700万次下载量。


原文链接:

https://blog.avast.com/new-malware-apps-on-google-play-avast


2.FBI称黑客利用SonarQube窃取政府和企业源代码


2.jpg


联邦调查局(FBI)称,黑客利用SonarQube从美国政府机构和企业窃取数据。SonarQube是一个开放源代码平台,用于自动代码质量审核和静态分析,以发现使用27种编程语言开发的项目中的错误和安全漏洞。从2020年4月开始,FBI就观察到美国政府机构和技术、金融、零售、食品、电子商务和制造业企业由于SonarQube不安全导致的源代码泄露事件,其中包括微软、Adobe、Lenovo、AMD、Qualcomm、Motorola、Nintendo和迪士尼等企业。


原文链接:

https://www.bleepingcomputer.com/news/security/fbi-hackers-stole-government-source-code-via-sonarqube-instances/


3.黑客从Harvest Finance窃取价值2400万美金加密货币


3.jpg


黑客从分散式金融服务(DeFi)服务Harvest Finance中窃取了价值约2400万美金的加密货币。根据该企业调查,黑客总共窃取了价值1300万美金的USD Coin(USDC)和价值1100万美金的Tether(USDT)。在攻击发生两分钟后,黑客还向该平台退还了250万美金,但其原因仍不清楚。Harvest Finance承认,此次攻击是因为自己的失误为攻击者提供了机会,并悬赏40万美金以奖励找到被盗资金并归还的人。    


原文链接:

https://www.zdnet.com/article/hacker-steals-24-million-from-cryptocurrency-service-harvest-finance/


4.超过100个ICC PRO灌溉系统暴露,主要分布在以色列


4.png


安全企业Security Joes发现超过100个ICC PRO灌溉系统暴露,其中大半分布在以色列。Security Joes表示用户在安装ICC PRO系统时未更改默认出厂设置,因此可利用Shodan等物联网搜索引擎轻松地找到它们。攻击者在找到可访问的ICC PRO系统后,通过输入默认管理员用户名即可访问智能灌溉控制面板,然后暂停或停止浇水、更改设置、控制输送到泵的水量和压力、或通过删除用户来锁定灌溉系统。这些系统超过一半位于以色列,其余的分布在全球各地。


原文链接:

https://www.zdnet.com/article/over-100-irrigation-systems-left-exposed-online-without-a-password/


5.Nando's客户遭到凭证填充攻击导致大量资金被盗


5.png


Nando's客户遭到凭证填充攻击导致大量资金被盗。Nando's是主要位于英国和欧洲城市的鸡肉连锁餐厅,于上周五遭到了凭证填充攻击。该餐厅称其系统并未遭到黑客入侵,黑客从其他地方窃取了其客户的电子邮件地址和密码,并访问他们的Nando's帐户,其中一名受害者被盗了大约870美金。Akamai称,在2018年7月至今年6月之间,总共发生了超过1000亿起凭证填充攻击,其中640亿起针对零售、旅游和酒店行业。


原文链接:

https://threatpost.com/nandos-hackers-customer-accounts/160527/


6.美国律所Fragomen遭到攻击导致GOOGLE员工信息泄露


6.png


美国移民律师事务所Fragomen遭到攻击导致GOOGLE员工信息泄露。该企业发布通知称,其遭到了网络攻击,黑客访问了包含I-9就业验证服务个人信息的文件,涉及到了GOOGLE员工和前员工。此次事件泄露了员工的全名、邮寄地址、出生日期、电子邮件地址、电话号码、社会保险号、护照号码和其他移民标识符。Fragomen为所有受影响的谷歌员工提供了一年的免费信用监控。


原文链接:

https://www.bleepingcomputer.com/news/security/google-employees-personal-info-exposed-in-law-firm-data-breach/