黑客借助 WinRAR 擦除乌克兰国家机构的数据;苹果、谷歌两大巨头联手打击蓝牙位置跟踪器;
2023-5-5 10:9:25 Author: 黑白之道(查看原文) 阅读量:21 收藏

黑客借助 WinRAR 擦除乌克兰国家机构的数据

据了解,俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中,WinRAR 被用来破坏政府设备上的数据。

在一份新的通报中,乌克兰政府计算机应急响应小组 (CERT-UA) 表示,俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。

一旦获得网络访问权,他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。

在 Windows 上,Sandworm 使用的 BAT 脚本是“RoarBat”,它会在磁盘和特定目录中搜索文件类型,例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat,并使用 WinRAR 程序将它们归档。

RoarBat 在所有驱动器上搜索指定的文件类型 (CERT-UA)

但是,当执行 WinRAR 时,攻击者会使用“-df”命令行选项,该选项会在文件存档时自动删除它们。当档案本身被删除,实际上删除了设备上的数据。

CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。

定时任务集运行BAT脚本 (CERT-UA)

在 Linux 系统上,攻击者使用 Bash 脚本代替,该脚本使用“dd”实用程序用零字节覆盖目标文件类型,擦除其内容。由于这种数据替换,即使不是完全不可能,也不太可能使用 dd 工具恢复“清空”的文件。

由于“dd”命令和 WinRAR 都是合法程序,威胁行为者可能使用它们来绕过安全软件的检测。

CERT-UA 表示,该事件类似于 2023 年 1 月袭击乌克兰国家新闻机构“Ukrinform”的另一场破坏性攻击,同样归因于 Sandworm。

“恶意计划的实施方法、访问主体的 IP 地址以及使用 RoarBat 修改版本的事实证明与 Ukrinform 网络攻击的相似性,有关信息已在 Telegram 频道中发布” Cyber ArmyofRussia_Reborn 写道。

CERT-UA 建议该国所有关键组织减少攻击面、修补漏洞、禁用不需要的服务、限制对管理界面的访问并监控其网络流量和日志。

在这样的情况下,允许访问公司网络的 VPN 帐户应该受到多重身份验证的保护。

苹果、谷歌两大巨头联手打击蓝牙位置跟踪器

近日,Apple 和 Google 联手推动采用新的行业标准,旨在阻止通过支持蓝牙的位置跟踪设备进行跟踪。

两家科技巨头公布的新规范草案建议,制造可能启用不需要的跟踪的设备的供应商应该更容易在发生这种情况时提醒目标个人 。

采取新的行业规范

苹果和谷歌在发布的协调新闻稿中表示:“首创的规范将允许蓝牙位置跟踪设备与跨 iOS 和安卓平台的未经授权的跟踪检测和警报兼容。”

三星、Tile、Chipolo、eufy Security 和 Pebblebee 已表示支持该规范草案。如果他们选择将这些功能构建到他们的产品中,该规范将为制造商提供了最佳实践和说明。

如果制造商采用新提出的技术标准,它将提供与 Android 和 iOS 的有害跟踪检测和警报技术的兼容性。

这使通过滥用位置跟踪配件检测不需要的跟踪变得更加简单,因为 iOS 和 Android 设备将能够提醒用户位置跟踪器正在通过“蓝牙众包、GPS/GNSS 位置、WiFi”来监控他们的活动位置、蜂窝位置或其他方式。

Apple 副总裁 Ron Huang 表示:“我们构建了 AirTag 和 Find My 网络,其中包含一系列主动功能以阻止不必要的跟踪(这在业内尚属首次),我们将继续进行改进以帮助确保该技术按预期使用。”

这项新的行业规范建立在 AirTag 保护的基础上,通过与谷歌的合作,向前迈出了关键一步,帮助打击跨 iOS 和 Android 的不需要的跟踪。

查找并停用一些跟踪设备

Apple 已经允许用户找到附近的 AirTag 或 AirPod 设备,这些设备可能会通过 iOS 平台内置的功能和专用的 Android 应用程序被滥用来跟踪个人。

Android 应用程序可以帮助检测蓝牙范围内的物品追踪器,与其所有者分开,并与 Apple 的 Find My 网络兼容。

该公司还提供有关停用未知AirTag、AirPods 或第三方 Find My 网络配件的信息,这样它们的所有者将不再收到位置更新。

尽管 Apple 努力使发现此类设备和打击跟踪变得更容易,但受害者通常很难找到此类设备,因为他们通常会被警告说他们被跟踪的时间最多会延迟 12 小时,正如一年前纽约时报的一篇报道所揭示的那样。

谷歌 Android 工程副总裁 Dave Burke 补充道,“蓝牙追踪器为用户带来了巨大的好处,但也带来了不必要的追踪的可能性,这需要全行业的行动来解决。Android 坚定不移地致力于保护用户,并将继续开发强有力的保护措施并与业界合作,以帮助打击滥用蓝牙跟踪设备的行为。”

文章来源 :E安全

精彩推荐



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650569175&idx=1&sn=0641c9a1f8ee36c52c6945257641186a&chksm=83bd1c33b4ca952581f68a957aadc1d53eadcd8446480f75037504519f59754fda2a8cfe56b7#rd
如有侵权请联系:admin#unsafe.sh