Service disruptions remain a critical concern for IT and business executives, with 88% of respondents saying they believe another major incident will occur in the next 12 months, according to PagerDuty. PagerDuty surveyed 1,000 IT and business executives who were director level and above, from the US, UK, Australia and Japan. Organizations must focus on preventing service disruptions 86% of executives surveyed now realize that they have been prioritizing security at the expense of readiness … More →
The post Service disruptions continue to blindside businesses appeared first on Help Net Security.
Managing cybersecurity and IT budgets is a critical element of organizational strategy. With increasing threats to data security, the rise of ransomware, and the need to protect IT infrastructure, organizations must invest wisely in cybersecurity to stay secure. This article shares key insights from cybersecurity budget surveys conducted in 2024. Despite massive security spending, 44% of CISOs fail to detect breaches Despite global information security spending projected to reach $215 billion in 2024, 44% of … More →
The post Cybersecurity spending trends and their impact on businesses appeared first on Help Net Security.
The mobile threat landscape continues to grow at an alarming rate as cybercrime groups shift their tactics and target mobile devices in the early stages of their attacks, according to a recent Lookout report. The report highlights insights behind a 17% increase QoQ (quarter on quarter) in enterprise-focused credential theft and phishing attempts, 32% increase QoQ in malicious app detections and a trend showing iOS devices are more exposed to phishing attacks than Android devices. … More →
The post iOS devices more exposed to phishing than Android appeared first on Help Net Security.
Apache 发布了一个安全更新,解决了 Tomcat Web 服务器中的一个重要漏洞,该漏洞可能导致攻击者实现远程代码执行。
Apache Tomcat 是一种开源 Web 服务器和 Servlet 容器,广泛用于部署和运行基于 Java 的 Web 应用程序。它为 Java Servlet、JavaServer Pages (JSP) 和 Java WebSocket 技术提供运行时环境。
该产品深受运行自定义 Web 应用程序的大型企业和依赖 Java 提供后端服务的 SaaS 提供商的欢迎。云和托管服务集成了 Tomcat 来进行应用程序托管,软件开发人员使用它来构建、测试和部署 Web 应用程序。
新版本中修复的漏洞被追踪为 CVE-2024-56337,并解决了 CVE-2024-50379 的不完整缓解措施,这是一个关键的远程代码执行 (RCE),供应商已于 12 月 17 日发布了补丁。
人们意识到应用 CVE-2024-50379 的更新不足以保护系统,并决定发布 CVE-2024-56337强调手动操作的必要性。
这两个问题本质上是完全相同的漏洞,但决定使用新的 CVE ID 是为了提高受影响系统管理员的认识。该安全问题是一个检查时间使用时间 (TOCTOU) 竞争条件漏洞,该漏洞会影响启用默认 Servlet 写入(“只读”初始化参数设置为 false)并在不区分大小写的文件系统上运行的系统。
该问题影响 Apache Tomcat 11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33 以及 9.0.0.M1 至 9.0.97。用户应升级到最新的 Tomcat 版本:11.0.2、10.1.34 和 9.0.98。
解决该问题需要采取额外的步骤,根据所使用的 Java 版本,除了升级之外,用户还需要执行以下操作:
·对于 Java 8 或 11,建议将系统属性“sun.io.useCanonCaches”设置为“false”(默认值:true)。
·对于 Java 17,请确保“sun.io.useCanonCaches”(如果设置)配置为 false(默认值:false)。
·对于 Java 21 及更高版本,无需配置。该属性和有问题的缓存已被删除。
Apache 团队分享了即将推出的 Tomcat 版本(11.0.3、10.1.35 和 9.0.99)中的安全增强计划。
具体来说,Tomcat 将在不区分大小写的文件系统上启用默认 servlet 的写访问权限之前检查“sun.io.useCanonCaches”设置是否正确,并在可能的情况下将“sun.io.useCanonCaches”默认为 false。这些更改旨在自动实施更安全的配置,并降低 CVE-2024-50379 和 CVE-2024-56337 被利用的风险。
网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑,通过虚假商务会议来瞄准 Web3 工作人员。
该情况根据会议软件常用的名称被称为“Meeten”,自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本,目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据(在 Mac 上)。
Meeten 是由 Cado 安全实验室发现的,该实验室称,威胁者不断更改假冒会议软件的名称和品牌,之前曾使用过“Clusee”、“Cuesee”、“Meetone”和“Meetio”等名称。
网站传播 Realst 盗窃者
这些假冒品牌在其中填充了人工智能生成的内容,以增加合法性,看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站,并被提示下载所谓的会议应用程序,但实际上,它是 Realst 窃取程序。
根据报告,该骗局以多种方式进行。在一个报告的实例中,用户认识的人在 Telegram 上联系了该用户,希望讨论商业机会并安排通话。然而,Telegram 帐户已创建更有趣的是,诈骗者向他发送了目标公司的投资演示,表明这是一个复杂的、有针对性的骗局。
其他报告称,目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时,目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外,Meeten 网站还包含 Javascript,甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的加密货币。
Cado 表示,除了 Realst 恶意软件之外,“Meeten”网站还托管 JavaScript,试图耗尽连接到该网站的钱包。
针对 Mac 和 Windows
选择下载 macOS 版本会议软件的用户会获得一个名为“CallCSSetup.pkg”的软件包,但过去也曾使用过其他文件名。执行时,它使用 macOS 命令行工具“osascript”要求用户输入系统密码,从而导致权限升级。
向用户提供密码提示
输入密码后,恶意软件将显示一条诱饵消息,指出“无法连接到服务器。请重新安装或使用 VPN。”然而,在后台,Realst 恶意软件会窃取计算机上托管的数据,包括:
·电报凭证
·银行卡详细信息
·钥匙串凭证
·来自 Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc 和 Vivaldi 的浏览器 cookie 和自动填充凭据
·Ledger 和 Trezor 钱包
数据首先存储在本地文件夹中,经过压缩,最终连同机器详细信息(例如版本名称、版本和系统信息)一起泄露到远程地址。
Realst 的 Windows 变体以 Nullsoft 脚本安装程序系统 (NSIS) 文件形式分发,名为“MeetenApp.exe”,并且还使用从 Brys Software 窃取的证书进行数字签名。
有效负载的数字签名
安装程序包含一个 7zip 存档(“app-64”)和一个 Electron 应用程序的核心(“app.asar”),其中包含 JavaScript 和资源,使用 Bytenode 编译为 V8 字节码以逃避检测。
Electron 应用程序连接到位于“deliverynetwork[.]observer”的远程服务器,并下载受密码保护的存档(“AdditionalFilesForMeet.zip”),其中包含系统分析器(“MicrosoftRuntimeComponentsX86.exe”)和主要恶意软件负载(“UpdateMC.exe”) ”)。
恶意软件收集的系统信息
基于 Rust 的可执行文件尝试收集以下信息,将其添加到 ZIP 文件中,然后将其泄露:
·电报凭证
·银行卡详细信息
·来自 Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc 和 Vivaldi 的浏览器 cookie、历史记录和自动填充凭据
·Ledger、Trezor、Phantom 和 Binance 钱包
与 macOS 相比,Windows 版本具有更复杂、更通用的有效负载传送机制、更好的规避能力,以及通过注册表修改在重新启动之间保留的能力。
总体而言,用户在未首先验证该软件是否合法,然后使用 VirusTotal 等多引擎防病毒工具进行扫描的情况下,切勿安装他人通过社交媒体推荐的软件。
从事 Web3 工作的人员尤其容易受到攻击,因为社交工程是一种常见策略,用于与该领域的目标建立融洽关系,然后最终诱骗目标安装恶意软件以窃取加密货币。