ZeroX团伙在暗网出售石油企业沙特阿美1TB的数据;已存在16年的漏洞影响数亿台惠普、Xerox和SAMSUNG打印机

发布时间 2021-07-21
1.ZeroX团伙在暗网出售石油企业沙特阿美1TB的数据


1.jpg


本月,一个名为ZeroX的黑客团伙在暗网以500万美金的价格出售沙特阿美企业1TB的数据。沙特阿拉伯石油企业简称沙特阿美(Saudi Aramco),是世界上最大的公共石油和天然气企业之一,拥有超过66000名员工,年收入近2300亿美金。ZeroX称这些数据是在2020年通过入侵沙特阿美的网络及服务器获得的,其中最早的可追溯到1993年。此次泄露的数据包括14254名员工的完整信息、各种系统的项目规范;内部分析报告、协议、信函、定价表;Scada点、Wi-Fi、IP摄像机和IoT设备的网络布局;Aramco客户名单、发票和合同等。


原文链接:

https://www.bleepingcomputer.com/news/security/saudi-aramco-data-breach-sees-1-tb-stolen-data-for-sale/


2.黑客在暗网公开含9100万条记录的墨西哥选民数据库


2.jpg


黑客最近在暗网上公开了2021年的整个墨西哥选民数据库,包含9100万条记录。国家选举研究所(INE)称他们已经向当局报告此事件,并表示其在2020年5月8日就向选举犯罪特别检察官(FEDE)报告了访问和不当使用与选举登记册相关数据的问题。这并不是INE第一次发生数据泄露事件,早在2016年曾泄露过93424710名墨西哥公民的选民登记信息。


原文链接:

https://www.databreaches.net/how-many-leaks-have-there-been-of-mexicos-voter-database/


3.已存在16年的漏洞影响数亿台惠普、Xerox和SAMSUNG打印机


3.jpg


SentinelLabs披露在HP、Samsung和Xerox打印机驱动程序中发现的一个严重的缓冲区溢出漏洞。该漏洞自2005年就开始存在,追踪为CVE-2021-3438,CVSS评分为8.8,影响超过380款的惠普和SAMSUNG打印机,以及12种Xerox打印机。该漏洞位于打印驱动程序安装程序包SSPORT.SYS中,本地攻击者可以利用该漏洞将权限提升到SYSTEM并在内核模式下运行代码,来安装、查看、更改、加密或删除数据等。目前,该漏洞已经修复。


原文链接:

https://www.zdnet.com/article/hp-patches-vulnerable-printer-driver-impacting-millions-of-devices/


4.新的MosaicLoader可利用Windows Defender绕过检测


4.jpg


Bitdefender研究人员发现新恶意AppMosaicLoader可利用Windows Defender绕过检测。该恶意App通过搜索引擎结果伪装成破解App,具有复杂的内部结构,旨在绕过恶意App分析。其模仿类似于合法App的文件信息并使用小块和无序实行顺序进行代码混淆。在成功感染目标后,最初的基于Delphi的dropper会从远程服务器获取下一阶段的payload,并在Windows Defender中为下载的可实行文件添加本地排除项以绕过杀毒App的扫描。


原文链接:

https://thehackernews.com/2021/07/this-new-malware-hides-itself-among.html    


5.NSO Group利用iMessage中0day安装间谍AppPegasus


5.jpg


大赦国际和Forbidden Stories披露以色列NSO Group利用iMessage中的零点击0day安装间谍AppPegasus。研究人员称,印度记者(CODE INJRN1)运行了最新版本iOS 14.6的苹果 XR于2021年6月16日遭到入侵,6月24日,一活跃人士(CODE RWHRD1)的苹果 X也遭到了入侵。苹果企业目前正在调查此事,并表示像上述那样的攻击非常复杂,开发成本为数百万美金,通常有效时间很短,并且仅用于针对特定的个人。


原文链接:

https://www.bleepingcomputer.com/news/security/iphones-running-latest-ios-hacked-to-deploy-nso-group-spyware/


6.Unit42发布利用Trap Flag绕过沙盒的攻击的分析报告


6.jpg


Unit 42在Intel CPU寄存器中发现了一个特殊的bit——陷阱标志(Trap Flag),恶意App通常会利用该位来逃避沙箱检测。该报告分析了恶意App如何在CPU寄存器中只用一个bit的情况下检测虚拟机或物理机CPU行为的差异。陷阱标志(TF)是Intel x86 CPU架构的EFLAGs寄存器中的第8个bit。其中针对葡萄牙用户的Lampion使用x86汇编指令以及最少的Windows API调用就实现了所有系统的检查,当它确认在VM中运行后就会自动终止。


原文链接:

https://unit42.paloaltonetworks.com/single-bit-trap-flag-intel-cpu/