微软颁布新指南：强化防御Kerberoasting攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

微软颁布新指南：强化防御Kerberoasting攻击

颁布功夫 2024-10-15

1. 微软颁布新指南：强化防御Kerberoasting攻击

10月13日，微软近期颁布了新指南，旨在援手组织有效防御日益严沉的 Kerberoasting 攻击，这种攻击重要针对 Active Directory (AD) 环境。Kerberoasting 利用 Kerberos 身份验证和谈窃取 AD 痛处，使攻击者可能宽泛接见敏感资源。微软指出，随着网络威胁的不休演变，安全专业人员必须紧跟最新的攻击媒介和防御机造。由于 GPU 加快密码破解技术的使用，Kerberoasting 攻击的有效性在提升。在 Kerberoasting 攻击中，攻击者通过要求并破解使用账户密码哈希加密的服务票证，来获取账户密码及未经授权的接见权限。出格是密码较弱的账户和使用较弱加密算法（如即将被弃用的 RC4）的账户，更易受到攻击。微软打算在 Windows 11 24H2 和 Windows Server 2025 的将来更新中默认禁用 RC4。为减轻 Kerberoasting 风险，微软建议采取多项措施，蕴含利用组托管服务帐户 (gMSA) 或委托托管服务帐户 (dMSA)、强造使用强密码、配置服务帐户使用 AES 加密，以及审核并删除不用要的服务主体名称 (SPN)。此表，微软还提供了检测 Kerberoasting 攻击的领导。

https://securityonline.info/microsoft-issues-guidance-to-combat-rising-kerberoasting-attacks/

2. Water Makara利用新逃避技术针对巴西企业部署Astaroth恶意软件

10月14日，Trend Micro钻研人员发现，一个名为Water Makara的威胁行为者集体针对巴西企业进行的恶意活动激增，使用了一种新的逃避技术来部署臭名远扬的Astaroth银行恶意软件。这次鱼叉式网络垂钓活动重要针对拉丁美洲的公司，尤其是巴西的造作公司、零售公司和当局机构，通过假意官方税务文件并利用幼我所得税申报的紧迫性诱骗用户下载恶意软件。攻击者利用mshta.exe执行混合的JavaScript号令，与C&C服务器成立衔接。ZIP文件附件中蕴含恶意的LNK文件，当用户执行时，会运行嵌入的恶意JavaScript号令。除了LNK文件，ZIP文件还蕴含另一个拥有混合JavaScript号令的文件。在这次活动中，攻击者使用了多个文件扩大名，如.pdf、.jpg等，以传布恶意软件。解码后的JavaScript号令揭示了一个恶意URL，通过GetObject函数尝试执行或检索对象，可能导致其他恶意操作。Water Makara的鱼叉式网络垂钓活动依赖于用户点击恶意文件，因而公司应采取最佳实际，如安全培训、强密码战术、多成分身份验证、维持安全解决规划更新等，以加强对此类威胁的防御。

https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

3. Gmail用户遭AI加强型网络垂钓攻击，专家亲自揭秘圈套

10月14日，Gmail作为全球最盛行的电子邮件服务，占有超过25亿用户，也因而成为了恶意行为者入侵账户和窃取敏感数据的沉点指标。微软安全产品专家、CloudJoy首创人Sam Mitrovic最近忠告称，一种复杂的人为智能加强型网络垂钓打算正针对Gmail用户，就连他自己也中了招。圈套从一封宣称来自谷歌的电子邮件起头，邮件诱导他点击链接进入一个仿真的诓骗网站，贪图窃取登录痛处。接着，他又收到了来自“Google”的电话，宣称检测到其账户存在异�；疃�。只管Mitrovic对来电号码进行了在线搜索，并确认了其合法性，但在仔细查抄发件人的电子邮件地址后，他敏感地发现地址假装成了Google官方域名。此表，Mitrovic还意识到，骗子的声音过于美满，可能是由人为智能天生的。他以为，这是全球领域内的黑客活动，而他只是多多受害者之一。因而，他向公家发出警示，提醒各人诳骗伎俩日益复杂且令人折服，幼我应维持高度警惕，进行根基查抄或向信赖的人求助，以防备此类攻击。

https://securityonline.info/gmail-scam-alert-hackers-spoof-google-to-steal-credentials/

4. 思科调查数据泄露指控：疑遭黑客入侵

10月14日，思科公司证实在调查一项指控，指控称一名威胁行为者在黑客论坛上销售据称是从思科窃取的数据，暗示公司可能已遭逢入侵。思科讲话人暗示，公司已相识到有关报路，并已启动调查以评估这一说法的真实性，但目前调查仍在进行中。此前，名为“IntelBroker”的威胁行为者宣称，他与另表两名黑客于2024年6月10日入侵了思科系统，并窃取了大量开发人员数据。据黑客论坛的帖子显示，泄露的数据蕴含各类项目源代码、硬编码凭证、证书、客户SRC、思科机密文档等。IntelBroker还分享了涉嫌被盗数据的样本。值妥贴心的是，6月份IntelBroker已起头销售或泄露蕴含T-Mobile、AMD和Apple在内的多家公司的数据。据新闻人士泄漏，这些数据可能是从第三方DevOps和软件开发托管服务提供商处窃取的。然而，目前尚不明显思科这次泄密事务是否与此前6月份的泄密事务有关。

https://www.bleepingcomputer.com/news/security/cisco-investigates-breach-after-stolen-data-for-sale-on-hacking-forum/

5. 朝鲜黑客利用FASTCash新型Linux变种盗取金融机构资金

10月14日，朝鲜黑客正利用FASTCash恶意软件的新型Linux变种，针对金融机构的支付转换系统执行未经授权的现金提取。FASTCash先前重要针对Windows和IBM AIX系统，但最新发现的Ubuntu 22.04 LTS版本变种显示黑客扩大了攻击领域。自2016年以来，FASTCash已被用于在30多个国度发起ATM取款攻击，窃取数千万美元，CISA于2018年初次忠告该威胁，并将其归罪于朝鲜当局支持的黑客组织“暗藏眼镜蛇”。2020年，美国网络司令部将FASTCash 2.0与APT38（Lazarus）联系起来，一年后，三名朝鲜人因涉嫌参加此类打算被告状，窃取金额超过13亿美元。HaxRob发现的新变种于2023年6月初次提交给VirusTotal，它以共享库大局注入到支付互换服务器过程中，拦截并把持ISO8583买卖信息，将买卖回绝响应代替为核准，并蕴含随机金额，使黑客可能从ATM中提取现金。该Linux变体在VirusTotal上尚未被检测到，批注其可逃避大无数安全工具。此表，HaxRob还汇报了FASTCash新的Windows版本的出现，显示黑客在积极改进其工具集。

https://www.bleepingcomputer.com/news/security/new-fastcash-malware-linux-variant-helps-steal-money-from-atms/

6. Gryphon Healthcare遭逢数据泄露，40万人信息或遭窃取

10月14日，Gryphon Healthcare是一家总部位于休斯顿的医疗保健服务提供商，遭逢了一路可能涉及多达40万人幼我信息泄露的事务。犯法分子可能进入了Gryphon一名客户的系统，把握了患者的姓名、诞生日期、地址、社会保险号以及医疗数据，蕴含诊断、医治、处方和保险信息等。Gryphon暗示十吩祺沉信息安全，只管没有证据批注数据已被滥用，但已向所有受害者提供12个月的信誉监控和身份�；し�。据称，这393,358名幼我的数据由Gryphon为其提供医疗账单服务的组织存储，可能蕴含医院、脊仫室、影像中心等多种医疗机构。Gryphon在发现事务后当即采取措施加强安全性，但并未具体注明事务性质。将来几个月，随着律师们拟定集体诉讼打算，Gryphon可能不得不披露更多信息。

https://www.theregister.com/2024/10/14/gryphon_healthcare_breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研