Aggregator

一封邮件让IT员工”破防”,这类钓鱼邮件千万要警惕!

嘶吼
1 year 1 month ago

一封邮件让IT员工”破防”,这类钓鱼邮件千万要警惕

据《2024中国企业邮箱安全报告》显示,2024年伪装成安全通知类主题的钓鱼邮件数量高达192.9万封,其中IT、金融行业成重灾区。这些钓鱼邮件犹如一把暗箭,随时可瓦解企业员工邮箱账号,窃取关键信息。

对于企业来说,构筑一道防得住,能反击的安全防线迫在眉睫——CACTER CAC2.0反钓鱼防盗号(以下简称:CAC2.0),是一款同时具备邮件识别过滤、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截,以及综合型邮件威胁情报(攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等)的云安全服务,为企业全面防范邮件威胁和邮件账号威胁

案例还原:一场精心设计的“账号认证”骗局

2024年12月,某知名IT企业员工小张收到一封“邮件异常登录提醒”的邮件通知,邮件显示其邮箱在几天前在加拿大被异常登录,并要求小张立即进行“安全认证”。小张担心自己被盗号便立即点击链接进行认证。殊不知第二天小张的邮箱已被攻陷,无法登录。

经管理员排查发现原来所谓的“安全认证”就是罪魁祸首,这无疑是一场黑客精心设计的“贼喊捉贼”式骗局。

 

案例源自《2024中国企业邮箱安全性研究报告》

此类”安全认证“钓鱼邮件屡见不鲜,黑客伪造企业内部域名绕过常规安全防护体系,

利用”异常登录”制造恐慌,精准触发用户应激反应,引导其点击伪装成“安全认证”的恶意链接。

一旦邮箱账号被攻陷,邮箱中的核心数据随时都会被泄露.被盗邮箱进一步会作为跳板,渗透企业内部网络,获取更多权限和敏感信息,给企业带来不可挽回的损失。无论企业安全部门还是企业员工,都应对此提高警惕。

CAC2.0反钓鱼防盗号:从拦截到反杀

我们来看看小张的企业若提前部署CAC2.0后,可以预防哪些风险?

1. 反垃圾反钓鱼监测:CAC2.0依据数亿级的垃圾邮件样本特征,可对恶意邮件意图精准分析,并进行恶意URL检测和附件检测,迅速识别恶意钓鱼邮件。

 案例直击:小张收到的这封“安全认证”主题的钓鱼邮件将会经由CAC2.0在0.3秒内被识别为“高风险”邮件,直接隔离至垃圾箱。

2.邮箱账号防暴:CAC2.0”防暴卫士”可快速识别出风险IP登录,即使账号密码正确,邮件系统放行,CAC2.0仍然可拦截不允许登录,并准实时告警,管理员可通过面板查看本域的拦截日志。

案例直击:当黑客盗取小张的邮箱账号并尝试登录时,CAC2.0将触发“风险IP拦截”,实时同步向管理员推送告警:检测到异常IP登录。 

3.邮件威胁情报系统:CAC2.0会通过邮件实时推送紧急安全情报至管理员邮箱,并结合最新典型威胁邮件案例,分析本域类似的威胁邮件检测及相关收件人,帮助管理员全面掌握自身系统的潜在风险,提前筑牢安全屏障。

案例直击:针对小张此类异常行为用户,CAC2.0会在24小时内推送安全报告,帮助管理员排查风险,并采取措施永久封禁攻击IP。

员工自保指南:3招识破“贼喊捉贼”

针对此类“安全通知“,到底如何防范?CACTER小助手为大家准备一些自保小贴士:

1、认清发信人域名:在收到各类“系统通知”时,注意认清发信人域名,办公系统和管理员不可能使用外部域名发送通知。

2、识别钓鱼网站:任何系统的安全认证不可能在外部网站进行,识别所谓“安全网站”的域名可以规避大部分钓鱼网站。

3、警惕”认证“要求:邮箱系统对异常登录的账号会采取直接进行锁定或要求重置口令,决不会要求输入口令进行”认证“,因此以安全认证为主题的基本可判定为钓鱼邮件。

在钓鱼邮件套路无穷的当下,多一份防护,多一份安心,CAC2.0拥有“事前拦截,事中告警,事后处置”的全流程能力,能够在企业邮箱管理的苛刻环境下,提供稳定可靠的服务。

Coremail邮件安全

新墨西哥州多所公立学区遭严重网络攻击

HackerNews
1 year 1 month ago
HackerNews 编译,转载请注明出处: 新墨西哥州多所公立学区及一所大学正遭受网络攻击,导致数千名学生日常学习活动陷入混乱。佐治亚州科维塔县学区周日声明称,其29所K-12学校的23,000名学生因周五晚间的网络攻击受到持续影响。 学区官员Dean Jackson将此次攻击定性为“严重事件”,并称已向州应急管理署及国土安全部门上报。IT系统于周五发现异常活动后立即切断网络连接。“调查期间将限制内部网络访问权限以确保取证工作顺利开展,”Jackson解释道。 此次攻击正值各校筹备期末考试与大学预修课程(AP)测试的关键节点(原定周一启动)。学生仍可使用Chromebook及无线网络,但教职员工被禁止接入办公设备。学区正与网络安全专家及联邦、州级机构合作,评估学生与教职工数据是否遭窃。 过去一周内,多起针对K-12学校的网络攻击被曝光: 俄克拉荷马州巴特尔斯维尔公立学校因系统瘫痪被迫取消州级测试 巴尔的摩公立学校遭勒索软件攻击影响超2万名现任及前任员工 南卡罗来纳州查尔斯顿学区2024年8月遭RansomHub团伙攻击,20,653名学生信息泄露 得克萨斯州阿尔文独立学区2024年7月被Fog勒索团伙入侵,波及47,000名学生 西新墨西哥大学(WNMU)遭受持续数周的网络攻击,官方网站至今无法恢复,校方被迫通过临时页面及Facebook向银城校区的3000余名师生提供替代服务。攻击始于4月13日,导致校内多系统停摆。 尽管校方在社交媒体持续更新进展,但未透露是否涉及勒索攻击或全面恢复时间表。临时网站警告学生避免使用未经IT部门安全检查的校园台式机,无线网络仍处中断状态。“我们正通过短信、邮件与社媒渠道保持沟通,并在系统恢复后第一时间通知全校,”校方声明称。 临近考试周,教授们已延长作业提交期限以减轻影响。然而,Facebook评论区充斥学生不满——尤其是依赖在线资源的远程学习者,抱怨进度更新缺失及完成期末任务的额外负担。 安全专家指出,四月至五月间针对教育机构的勒索攻击显著激增,攻击者试图利用考试季技术依赖心理迫使学校支付赎金。2025年迄今已追踪到超70起教育领域勒索事件,多所高校去年遗留的数据泄露问题亦浮出水面。上周,Albion学院确认Medusa团伙2024年12月攻击导致数据外泄,南阿肯色大学理工学院则证实RansomHub团伙二月入侵属实。       消息来源: therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2022-22658 | Apple iOS up to 16.0.2 Email denial of service (HT213480)

Vuldb Updates
1 year 1 month ago
A vulnerability was found in Apple iOS up to 16.0.2 and classified as problematic. This issue affects some unknown processing of the component Email Handler. The manipulation leads to denial of service. The identification of this vulnerability is CVE-2022-22658. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2022-23738 | GitHub Enterprise Server up to 3.2.19/3.3.14/3.4.9/3.5.6/3.6.2 URL information disclosure

Vuldb Updates
1 year 1 month ago
A vulnerability has been found in GitHub Enterprise Server up to 3.2.19/3.3.14/3.4.9/3.5.6/3.6.2 and classified as problematic. This vulnerability affects unknown code of the component URL Handler. The manipulation leads to information disclosure. This vulnerability was named CVE-2022-23738. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2022-42311 | Xen xenstored resource consumption (FEDORA-2022-07438e12df / Nessus ID 211096)

Vuldb Updates
1 year 1 month ago
A vulnerability classified as problematic was found in Xen. Affected by this vulnerability is an unknown functionality of the component xenstored. The manipulation leads to resource consumption. This vulnerability is known as CVE-2022-42311. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to apply a patch to fix this issue.
vuldb.com

CVE-2022-42312 | Xen xenstored resource consumption (FEDORA-2022-07438e12df / Nessus ID 211096)

Vuldb Updates
1 year 1 month ago
A vulnerability, which was classified as problematic, has been found in Xen. Affected by this issue is some unknown functionality of the component xenstored. The manipulation leads to resource consumption. This vulnerability is handled as CVE-2022-42312. The attack needs to be approached within the local network. There is no exploit available. It is recommended to apply a patch to fix this issue.
vuldb.com

CVE-2022-42313 | Xen xenstored resource consumption (FEDORA-2022-07438e12df / Nessus ID 211096)

Vuldb Updates
1 year 1 month ago
A vulnerability, which was classified as problematic, was found in Xen. This affects an unknown part of the component xenstored. The manipulation leads to resource consumption. This vulnerability is uniquely identified as CVE-2022-42313. The attack can only be done within the local network. There is no exploit available. It is recommended to apply a patch to fix this issue.
vuldb.com

CVE-2022-42314 | Xen xenstored resource consumption (FEDORA-2022-07438e12df / Nessus ID 211096)

Vuldb Updates
1 year 1 month ago
A vulnerability has been found in Xen and classified as problematic. This vulnerability affects unknown code of the component xenstored. The manipulation leads to resource consumption. This vulnerability was named CVE-2022-42314. The attack can only be initiated within the local network. There is no exploit available. It is recommended to apply a patch to fix this issue.
vuldb.com

CVE-2022-42315 | Xen xenstored resource consumption (FEDORA-2022-07438e12df / Nessus ID 211096)

Vuldb Updates
1 year 1 month ago
A vulnerability was found in Xen and classified as problematic. This issue affects some unknown processing of the component xenstored. The manipulation leads to resource consumption. The identification of this vulnerability is CVE-2022-42315. The attack needs to be done within the local network. There is no exploit available. It is recommended to apply a patch to fix this issue.
vuldb.com

国家网络安全通报中心:重点防范境外恶意网址和恶意IP

嘶吼
1 year 1 month ago

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用、窃密等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及:美国、瑞典、印度。主要情况如下:

一、恶意地址信息

(一)恶意地址:ddos.8ucddos.com

关联IP地址:38.165.82.8

归属地:美国/加利福尼亚州/圣何塞

威胁类型:僵尸网络

病毒家族:XorDDoS

描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。

(二)恶意地址:amushuvfikjas.b2047.com

关联IP地址:104.155.138.21

归属地:美国/艾奥瓦州/康瑟尔布拉夫斯

威胁类型:僵尸网络

病毒家族:XorDDoS

描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。

(三)恶意地址:a.gandzy.shop

关联IP地址:104.131.68.180

归属地:美国/新泽西州/克利夫顿

威胁类型:僵尸网络

病毒家族:MooBot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

(四)恶意地址:shetoldmeshewas12.uno

关联IP地址:104.131.68.180

归属地:美国/新泽西州/克利夫顿

威胁类型:僵尸网络

病毒家族:MooBot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

(五)恶意地址:yu5bca55387d2a9ba0d7.ddnsfree.com

关联IP地址:173.208.162.39

归属地:美国/密苏里州/北堪萨斯城

威胁类型:后门

病毒家族:AsyncRAT

描述:该恶意地址关联多个AsyncRAT病毒家族样本,部分样本的MD5值为31bfa56bcd984d9a334a3006d3cc323d。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。

(六)恶意地址:sbdar.com

关联IP地址:23.20.239.12

归属地:美国/弗吉尼亚州/阿什本

威胁类型:窃密

病毒家族:AmosStealer

描述:该恶意地址关联到AmosStealer病毒家族样本,部分样本的MD5值为9841c50833e3c05e74bffd97b3737d46。AmosStealer(也称为“Atomic Stealer”)是一种针对macOS系统的信息窃取恶意软件,能够窃取用户的登录凭证、浏览器数据、加密货币钱包信息等,该恶意软件通过伪装成合法软件或利用恶意广告(malvertising)进行传播。

(七)恶意地址:34.58.66.17

归属地:美国/加利福尼亚州/山景城

威胁类型:后门

病毒家族:AsyncRAT

描述:该恶意地址关联多个AsyncRAT病毒家族样本,部分样本的MD5值为91aa773721ad37dc7205accac80dbf76。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。

(八)恶意地址:reald27.duckdns.org

关联IP地址:46.246.86.20

归属地:瑞典/斯德哥尔摩省/斯德哥尔摩

威胁类型:后门

病毒家族:NjRAT

描述:该恶意地址关联到NjRAT病毒家族样本,部分样本程序的MD5值为b28304414842bcacb024d0b5c70fc2ea。该后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。

(九)恶意地址:serisbot.geek

关联IP地址:139.59.53.195

归属地:印度/卡纳塔克邦/班加罗尔

威胁类型:僵尸网络

病毒家族:Mirai

描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。

二、排查方法

(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网址和IP发起通信的设备网上活动痕迹。

(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。

三、处置建议

(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。

(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。

(三)向公安机关及时报告,配合开展现场调查和技术溯源。

文章来源自:国家网络安全通报中心

胡金鱼

iHeartRadio 旗下多家电台于十二月遭入侵

HackerNews
1 year 1 month ago
HackerNews 编译,转载请注明出处: 美国最大音频传媒集团iHeartMedia披露,其旗下多家广播电台于去年12月遭遇网络入侵,导致员工社会安全号码、财务账户信息等敏感数据外泄。尽管该公司已向缅因州、马萨诸塞州与加利福尼亚州提交数据泄露报告,但拒绝向《记录未来新闻》透露受影响人数及遭攻击电台数量。 iHeartMedia发言人称:“我们在少数地方电台的部分系统中发现异常活动后,立即采取措施阻断入侵,启动事件响应流程,并聘请第三方网络安全公司协助调查。同时已向执法部门通报。”泄露通知文件显示,攻击者于12月24日至27日侵入公司系统,访问并窃取存储于地方电台的敏感文件。 经持续至今年4月11日的调查确认,外泄数据包括: 社会安全号码 税号 驾照/护照号码 金融账户信息 健康保险资料 支付卡号 受影响员工将获赠一年期身份保护服务,并可通过专设电话热线咨询。值得注意的是,在提交给缅因州的报告中,iHeartMedia刻意隐去了受害者总数统计项。目前尚无黑客组织宣称对此事件负责。 作为美国音频行业巨头,iHeartMedia运营着870余个广播电台,月均触达2.5亿听众,2023年营收达38亿美元。此次事件发生一周前,另一传媒集团Urban One也披露了2月遭遇勒索攻击导致的员工数据泄露,但同样未公布具体影响规模。       消息来源: therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

谷歌修复 Android 漏洞 CVE-2025-27363

HackerNews
1 year 1 month ago
HackerNews 编译,转载请注明出处: 谷歌近日修复了46个Android安全漏洞,其中包括一个已被在野利用的高危漏洞(追踪编号CVE-2025-27363,CVSS评分8.1)。该公司未透露相关攻击活动细节及漏洞利用者的身份信息。 该漏洞存在于系统组件中,成功利用可导致本地代码执行。2025年5月安卓安全公告指出:“最严重的问题是系统组件中的高危漏洞,攻击者无需额外权限即可执行本地代码,且无需用户交互即可完成利用。有迹象表明CVE-2025-27363可能已被定向攻击者有限度利用。” 今年3月中旬,Meta曾警告称FreeType库中的越界写入漏洞(同样追踪为CVE-2025-27363)可能已遭活跃利用。该漏洞影响FreeType 2.13.0及更早版本,具体存在于解析TrueType GX和可变字体文件的子字形结构时。“漏洞代码将带符号短整型数值赋给无符号长整型变量,叠加静态值后引发数值回绕,导致堆缓冲区分配过小。攻击者可借此越界写入最多6个带符号长整型数据,最终可能实现任意代码执行。”Meta公告称,同样未披露攻击细节、攻击者身份或攻击规模。 安全专家警告,多个Linux发行版仍在使用存在漏洞的旧版FreeType库,面临被攻击风险。谷歌在公告中强调:“新版安卓平台的多项安全增强机制大幅提升了漏洞利用难度,建议所有用户尽可能升级至最新系统版本。”       消息来源: securityaffairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Darcula 钓鱼攻击致 80 万人受害

HackerNews
1 year 1 month ago
HackerNews 编译,转载请注明出处: 网络安全研究人员近日揭露一项规模化运行的钓鱼即服务(PhaaS)活动,该犯罪网络在短短数月内已导致数十万人受害。挪威安全公司Mnemonic披露,该代号“Darcula”的钓鱼平台专门针对iPhone和Android用户,通过仿冒知名品牌诱导受害者提交银行卡信息。 该组织通过短信、RCS和iMessage渠道在全球范围发起攻击,伪装成物流公司等品牌发送钓鱼信息。受害者会被要求支付“包裹签收费用”、“道路通行费”等虚假账单。早期报告显示,该平台持续迭代升级,已具备生成式AI定制钓鱼话术、反取证追踪等高级功能。 通过逆向工程分析,Mnemonic成功锁定该犯罪网络的核心——名为“Magic Cat”的自动化攻击套件。 该基础设施当前被约600个网络犯罪团伙租用,这些组织多潜伏于加密Telegram群组,利用SIM卡池扩大攻击覆盖面,通过卡终端设备处理窃取的数据。据研究人员估算,2023年至2024年的七个月内,通过该平台泄露的银行卡信息达88.4万条。 Mnemonic指出,Magic Cat是专为技术门槛较低的犯罪者设计的全功能工具包,可实现钓鱼短信攻击的批量化操作。该平台内置数百个跨国品牌仿冒模板,近期更新后自定义模板功能更为简化。 该工具具备实时数据流监控功能,可逐字符捕获受害者输入的敏感信息,并支持动态索取PIN码、无缝对接短信网关等高级特性。目前,已通报多国执法机构介入调查。       消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad