微软宣布新指南：强化防御Kerberoasting攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

微软宣布新指南：强化防御Kerberoasting攻击

宣布时间 2024-10-15

1. 微软宣布新指南：强化防御Kerberoasting攻击

10月13日，微软近期宣布了新指南，旨在资助组织有效防御日益严重的 Kerberoasting 攻击，这种攻击主要针对 Active Directory (AD) 环境。Kerberoasting 利用 Kerberos 身份验证协议窃取 AD 凭据，使攻击者能够广泛访问敏感资源。微软指出，随着网络威胁的不停演变，宁静专业人员必须紧跟最新的攻击媒介和防御机制。由于 GPU 加速密码破解技术的运用，Kerberoasting 攻击的有效性正在提升。在 Kerberoasting 攻击中，攻击者通过请求并破解使用账户密码哈希加密的服务票证，来获取账户密码及未经授权的访问权限。特别是密码较弱的账户和使用较弱加密算法（如即将被弃用的 RC4）的账户，更易受到攻击。微软计划在 Windows 11 24H2 和 Windows Server 2025 的未来更新中默认禁用 RC4。为减轻 Kerberoasting 风险，微软建议接纳多项措施，包罗利用组托管服务帐户 (gMSA) 或委托托管服务帐户 (dMSA)、强制使用强密码、配置服务帐户使用 AES 加密，以及审核并删除不须要的服务主体名称 (SPN)。此外，微软还提供了检测 Kerberoasting 攻击的指导。

https://securityonline.info/microsoft-issues-guidance-to-combat-rising-kerberoasting-attacks/

2. Water Makara利用新逃避技术针对巴西企业部署Astaroth恶意软件

10月14日，Trend Micro研究人员发现，一个名为Water Makara的威胁行为者团体针对巴西企业进行的恶意活动激增，使用了一种新的逃避技术来部署污名昭著的Astaroth银行恶意软件。此次鱼叉式网络钓鱼活动主要针对拉丁美洲的公司，尤其是巴西的制造公司、零售公司和政府机构，通过冒充官方税务文件并利用个人所得税申报的紧迫性诱骗用户下载恶意软件。攻击者利用mshta.exe执行混淆的JavaScript命令，与C&C服务器建立连接。ZIP文件附件中包罗恶意的LNK文件，当用户执行时，会运行嵌入的恶意JavaScript命令。除了LNK文件，ZIP文件还包罗另一个具有混淆JavaScript命令的文件。在此次活动中，攻击者使用了多个文件扩展名，如.pdf、.jpg等，以流传恶意软件。解码后的JavaScript命令揭示了一个恶意URL，通过GetObject函数实验执行或检索工具，可能导致其他恶意操作。Water Makara的鱼叉式网络钓鱼活动依赖于用户点击恶意文件，因此公司应接纳最佳实践，如宁静培训、强密码计谋、多因素身份验证、保持宁静解决方案更新等，以加强对此类威胁的防御。

https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

3. Gmail用户遭AI增强型网络钓鱼攻击，专家亲身揭秘骗局

10月14日，Gmail作为全球最流行的电子邮件服务，拥有凌驾25亿用户，也因此成为了恶意行为者入侵账户和窃取敏感数据的重点目标。微软宁静产物专家、CloudJoy首创人Sam Mitrovic最近警告称，一种庞大的人工智能增强型网络钓鱼计划正针对Gmail用户，就连他自己也中了招。骗局从一封声称来自谷歌的电子邮件开始，邮件诱导他点击链接进入一个仿真的欺诈网站，企图窃取登录凭据。接着，他又收到了来自“Google”的电话，声称检测到其账户存在异�；疃�。尽管Mitrovic对来电号码进行了在线搜索，并确认了其合法性，但在仔细检查发件人的电子邮件地址后，他敏锐地发现地址伪装成了Google官方域名。此外，Mitrovic还意识到，骗子的声音过于完美，可能是由人工智能生成的。他认为，这是全球范围内的黑客活动，而他只是众多受害者之一。因此，他向公众发出警示，提醒各人诈骗手段日益庞大且令人信服，个人应保持高度警惕，进行基本检查或向信任的人求助，以防范此类攻击。

https://securityonline.info/gmail-scam-alert-hackers-spoof-google-to-steal-credentials/

4. 思科视察数据泄露指控：疑遭黑客入侵

10月14日，思科公司证实正在视察一项指控，指控称一名威胁行为者在黑客论坛上出售据称是从思科窃取的数据，体现公司可能已遭受入侵。思科发言人体现，公司已了解到相关报道，并已启动视察以评估这一说法的真实性，但目前视察仍在进行中。此前，名为“IntelBroker”的威胁行为者声称，他与另外两名黑客于2024年6月10日入侵了思科系统，并窃取了大量开发人员数据。据黑客论坛的帖子显示，泄露的数据包罗种种项目源代码、硬编码凭证、证书、客户SRC、思科机密文档等。IntelBroker还分享了涉嫌被盗数据的样本。值得注意的是，6月份IntelBroker已开始出售或泄露包罗T-Mobile、AMD和Apple在内的多家公司的数据。据消息人士透露，这些数据可能是从第三方DevOps和软件开发托管服务提供商处窃取的。然而，目前尚不清楚思科此次泄密事件是否与此前6月份的泄密事件有关。

https://www.bleepingcomputer.com/news/security/cisco-investigates-breach-after-stolen-data-for-sale-on-hacking-forum/

5. 朝鲜黑客利用FASTCash新型Linux变种偷取金融机构资金

10月14日，朝鲜黑客正利用FASTCash恶意软件的新型Linux变种，针对金融机构的支付转换系统实施未经授权的现金提取。FASTCash先前主要针对Windows和IBM AIX系统，但最新发现的Ubuntu 22.04 LTS版本变种显示黑客扩大了攻击范围。自2016年以来，FASTCash已被用于在30多个国家发动ATM取款攻击，窃取数千万美元，CISA于2018年首次警告该威胁，并将其归咎于朝鲜政府支持的黑客组织“隐藏眼镜蛇”。2020年，美国网络司令部将FASTCash 2.0与APT38（Lazarus）联系起来，一年后，三名朝鲜人因涉嫌加入此类计划被起诉，窃取金额凌驾13亿美元。HaxRob发现的新变种于2023年6月首次提交给VirusTotal，它以共享库形式注入到支付交换服务器进程中，拦截并利用ISO8583交易信息，将交易拒绝响应替换为批准，并包罗随机金额，使黑客能够从ATM中提取现金。该Linux变体在VirusTotal上尚未被检测到，表明其可逃避大多数宁静工具。此外，HaxRob还陈诉了FASTCash新的Windows版本的泛起，显示黑客正在积极革新其工具集。

https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/

6. Gryphon Healthcare遭遇数据泄露，40万人信息或遭窃取

10月14日，Gryphon Healthcare是一家总部位于休斯顿的医疗保健服务提供商，遭遇了一起可能涉及多达40万人个人信息泄露的事件。非法分子可能进入了Gryphon一名客户的系统，掌握了患者的姓名、出生日期、地址、社会保险号以及医疗数据，包罗诊断、治疗、处方和保险信息等。Gryphon体现非常重视信息宁静，尽管没有证据表明数据已被滥用，但已向所有受害者提供12个月的信用监控和身份�；し�。据称，这393,358名个人的数据由Gryphon为其提供医疗账单服务的组织存储，可能包罗医院、急诊室、影像中心等多种医疗机构。Gryphon在发现事件后立即接纳措施增强宁静性，但并未具体说明事件性质。未来几个月，随着律师们拟定集体诉讼计划，Gryphon可能不得不披露更多信息。

https://www.theregister.com/2024/10/14/gryphon_healthcare_breach/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究