研究团队扫描发现超过360万台暴露的MySQL服务器

发布时间 2022-06-02

1、研究团队扫描发现超过360万台暴露的MySQL服务器


据媒体5月31日报道,安全研究组织Shadowserver Foundation在上周进行的扫描中,发现超过360万台暴露的MySQL服务器使用默认端口TCP端口3306。这些服务器在网上公开暴露并响应查询,可能成为黑客和勒索攻击者的目标。其中,有230万台通过IPv4连接,130万台设备通过IPv6连接。最多的国家是美国,拥有超过120万台暴露的设备,其次是德国、新加坡、荷兰和波兰等国。不适当地保护MySQL数据库服务器可能导致数据泄露、破坏性的攻击、勒索攻击以及RAT感染。


https://www.bleepingcomputer.com/news/security/over-36-million-mysql-servers-found-exposed-on-the-internet/


2、土耳其航空公司Pegasus Airlines的6.5 TB数据泄露


媒体5月31日称,土耳其航空公司Pegasus Airlines的AWS存储桶配置错误,泄露了6.5 TB数据。研究人员在2月28日发现了一个开放的存储桶,其中有约2300万份文档,涉及超过300万个飞行数据文件(如飞行图表、保险文件和机组轮班信息等),超过160万份机组人员的PII信息,以及Pegasus航空公司开发的电子飞行包(EFB)软件的源代码。目前,该存储库已被保护起来。


https://www.hackread.com/pegasus-airlines-leak-tb-data-aws-s3-bucket-mess-up/


3、SideWinder团伙在近两年中已进行1000多次攻击活动


据5月31日报道,自2020年4月以来,黑客团伙SideWinder已发起了超过1000次攻击活动。Kaspersky表示,该团伙的部分特征使其脱颖而出,包括攻击的数量、频率和持久性,以及在其活动中使用的大量加密和混淆恶意组件。在过去的两年中,攻击者一直运营着一个由400多个域和子域组成的大型C2基础设施,来托管和控制恶意payload。研究人员称该团伙使用各种感染媒介和先进的技术,具有较高的复杂性,建议组织使用最新版本的Microsoft Office缓解此类攻击。


https://thehackernews.com/2022/05/sidewinder-hackers-launched-over-1000.html


4、多国执法部门联合行动成功捣毁FluBot的基础设施


欧洲刑警组织在6月1日宣布,已经成功捣毁Android恶意软件FluBot。此次执法行动涉及澳大利亚、比利时、芬兰、匈牙利、爱尔兰、罗马尼亚、西班牙、瑞典、瑞士、荷兰和美国。早在2021年3月,西班牙警方曾逮捕了4名嫌疑人,他们被认为是FluBot活动的主要成员,但此次中断只是暂时的,攻击者不久后开始针对西班牙之外的国家。这一次,欧洲刑警组织强调,FluBot的基础设施已处于执法部门的控制之下,因此不可能再死灰复燃。


https://www.bleepingcomputer.com/news/security/flubot-android-malware-operation-shutdown-by-law-enforcement/


5、Check Point发布关于僵尸网络XLoader的分析报告


5月31日,Check Point发布关于新版本的僵尸网络XLoader的分析报告。XLoader是一个信息窃取程序,最初基于Formbook,主要针对Windows和macOS,它于2021年1月首次被广泛地利用。最新版本对C2成功的访问源于概率论的大数定律,安全研究人员必须经过冗长的模拟才能得出实际的C2地址,这是一种不常见的做法,它会使所有的自动脚本变得毫无用处。研究人员发现在2.6版本中,XLoader从64位的payload中删除了这一功能,每次都会连接真正的C2域;但在32位系统中(也就是研究人员使用的沙盒中常见的系统),保留了这个新的C2混淆功能。


https://www.bleepingcomputer.com/news/security/new-xloader-botnet-uses-probability-theory-to-hide-its-servers/


6、Unit 42发布2021年11月至2022年1月网络威胁的分析报告


Unit 42在5月31日发布了2021年11月至2022年1月网络威胁态势的分析报告。报告指出,在这三个月中总共出现了6443个新漏洞,其中31.3%是本地漏洞,而剩余的68.7%是远程漏洞。最常见的漏洞类型是跨站脚本漏洞,其次是拒绝服务漏洞、缓冲区溢出漏洞和提权漏洞。最常见的攻击类型是远程代码执行,其次是信息泄露和遍历。最多的攻击来自来自美国,之后是德国和俄罗斯,但攻击者有可能使用了代理和VPN来隐藏实际位置。


https://unit42.paloaltonetworks.com/network-security-trends-cross-site-scripting/