研究人员称恶意软件AVrecon已感染7万多SOHO路由器
发布时间 2023-07-171、研究人员称恶意软件AVrecon已感染7万多SOHO路由器
Black Lotus Labs在7月12日称,恶意软件AVrecon已感染超过70000个基于Linux的SOHO路由器,并将它们添加到僵尸网络中。除了2021年5月首次被发现之外,AVrecon已经运行了两年多而未被检测到。研究人员推断,该活动似乎旨在创建一个秘密网络,以悄悄地开展密码喷洒和数字广告欺诈等一系列攻击活动。由于恶意软件的隐蔽性,被感染设备的所有者很少注意到任务中断或带宽的损失。安全团队通过将僵尸网络的C2在其主干网络上进行无效路由来应对此类威胁。
https://blog.lumen.com/routers-from-the-underground-exposing-avrecon/
2、乌克兰CERT-UA披露UAC-0010团伙近期攻击活动的细节
7月13日,乌克兰CERT-UA披露了UAC-0010(又称Gamaredon)团伙近期攻击活动的细节。Gamaredon会进行快速攻击,在首次入侵后30分钟就开始窃取数据。首先利用钓鱼邮件和消息,诱使目标打开而已附件,然后下载PowerShell脚本和恶意软件(通常是GammaSteel)。此外,攻击者每周在被感染的系统上植入多达120个恶意文件,以增加再次感染的可能性。CERT-UA表示,抵御此类攻击的最佳方法是阻止或限制mshta.exe、wscript.exe、cscript.exe和powershell.exe的未经授权执行。
https://cert.gov.ua/article/5160737
3、WordPress插件AIOS记录明文密码影响100多万个网站
据媒体7月14日报道,WordPress插件All-In-One Security(AIOS)被发现会以明文形式存储用户密码,从而使帐户安全面临风险。该插件被超过100万个网站使用,有用户报告称,它不仅将用户登录尝试记录到aiowps_audit_log数据库表(用于跟踪登录、注销和登录失败事件),还记录了输入的密码。目前,AIOS供应商已于7月11日发布了5.2.0版本,其中包括防止保存明文密码并清除旧条目的修复程序。统计数据显示,截至目前还有超过750000个网站未更新,容易遭到攻击。
https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/
4、薪资服务公司UKG同意以600万美元和解数据泄露的诉讼
媒体7月12日称,薪资服务提供商UKG同意以600万美元和解2021年数据泄露的诉讼。2021年12月的勒索攻击导致UKG的Kronos私有云部分产品离线,还导致部分员工和承包商的信息泄露。此次事件影响了百事公司、纽约市交通局、英国超市Sainsbury和多个医疗机构。UKG于2022年1月被起诉,当时提出了九项诉讼理由,包括疏忽、不当得利、违约和违反加州隐私法等。UKG同意支付550万美元用于索赔,并承诺在必要时追加50万美元。
https://www.wsj.com/articles/payroll-services-provider-ukg-agrees-to-6-million-settlement-in-data-breach-lawsuit-8ea87f01
5、Uptycs发现假的CVE-2023-35829的PoC分发恶意软件
Uptycs在7月12日称其发现了一个伪造的漏洞PoC,会分发Linux密码窃取恶意软件。该PoC声称是针对CVE-2023-35829的漏洞利用,这是一个影响6.3.2之前的Linux内核的释放后使用漏洞。但实际上,它是另一个Linux内核漏洞CVE-2022-34918的旧版合法漏洞利用。该恶意软件能够窃取主机名、用户名和主目录内容的完整列表等。此外,攻击者还通过将SSH密钥添加到authorized_keys文件中,以实现对目标系统的完全控制。
https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware
6、SlashNext发布基于AI的黑客工具WormGPT的分析报告
7月13日,SlashNext发布了新型生成式人工智能黑客工具WormGPT的分析报告。该工具将自己视为GPT模型的黑帽替代品,专为恶意活动而设计。WormGPT是一款基于GPTJ语言模型的AI模块,于2021年开发,具有无限字符支持、聊天内存保留和代码格式化等功能。攻击者可以利用此工具生成有说服力的电子邮件,进行复杂的钓鱼攻击和BEC攻击。
https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/
京公网安备11010802024551号