研究人员发现4万多个路由器和物联设备组建的僵尸网络
发布时间 2024-03-283月26日,该路由器僵尸网络于 2014 年首次出现,一直在悄悄运行,同时在 2024 年 1 月和 2 月增长到来自 88 个国家的 40000 多个僵尸网络。这些机器人中的大多数都被用作臭名昭著的、针对网络犯罪的代理服务的基础,该服务被称为 Faceless。Black Lotus Labs 的研究人员表示,他们确定了该组织代理服务的逻辑图,其中包括 2024 年 3 月第一周开始的一项活动,该活动在不到 72 小时内针对 6000 多个华硕路由器进行了攻击。研究人员认为,全球范围内针对报废物联网设备的攻击是故意的,因为它们不再受到制造商的支持,而且已知的安全漏洞也没有得到修复。
https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/
2. Mispadu银行木马扩大影响范围,瞄准欧洲及其它地区
3月26日,Mispadu 银行木马因攻击拉丁美洲国家而臭名昭著,目前正在积极扩大其目标。形态安全实验室已发现整个欧洲的 Mispadu 活动激增,标志着威胁范围发生了令人担忧的转变。Mispadu 的最新攻击不受行业限制。从汽车制造巨头到处理敏感数据的律师事务所,该木马给每个依赖在线银行或敏感登录凭据的组织带来风险。墨西哥是 Mispadu 活动最初的温床,仍然是一个主要目标,但威胁现在远远超出了最初的边界。Mispadu采用多阶段攻击链,对其之前的版本进行了巧妙的改进。初始阶段涉及分发网络钓鱼电子邮件,每封电子邮件都包含一个伪装成发票的 PDF。受“查看完整发票”诱惑的受害者会被引导下载 ZIP 文件,从而启动木马的渗透过程。
https://securityonline.info/mispadu-banking-trojan-expands-reach-targeting-europe-and-beyond/
3. 勒索软件 Agenda 的新变种 瞄准 VMware ESXi 服务器
3月27日,Agenda(又名 Qilin 和 Water Galura)于 2022 年首次被发现。它的第一个基于 Golang 的勒索软件被用于针对各种目标:从加拿大到哥伦比亚和印度尼西亚的医疗保健、制造和教育领域。到 2022 年底,Agenda 的所有者用Rust 重写了其恶意软件,Rust对于希望跨操作系统传播其工作的恶意软件作者来说是一种有用的语言。通过 Rust 变体,Agenda 能够危害金融、法律、建筑等领域的组织,主要是在美国,但也在阿根廷、澳大利亚、泰国和其他地方。最近,趋势科技在野外发现了一种新的 Agenda 勒索软件变种。这个基于 Rust 的最新版本配备了各种新功能和隐形机制,并将其目标直接瞄准了 VMware vCenter 和 ESXi 服务器。
https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers
4. Giant Tiger 表示客户数据因第三方违规而泄露
3月25日,折扣零售商 Giant Tiger 表示,其部分客户的联系信息在与其使用的第三方供应商相关的“事件”中遭到泄露。这家总部位于渥太华的折扣零售商发言人表示,不会透露供应商的名称,但表示 Giant Tiger 使用该公司来管理其客户沟通和互动。该零售商在给客户的电子邮件中写道,该零售商于 3 月 4 日首次获悉该安全事件,并于 3 月 15 日得出结论,客户信息受到影响。受影响的信息因客户而异。其中包括订阅 Giant Tiger 电子邮件的人的姓名和电子邮件地址。一些在线下订单送货上门的顾客可能拥有相同的信息以及他们的街道地址。发言人表示,受漏洞影响的客户数量与每个计划相关,但没有给出具体数字。
https://www.cbc.ca/news/business/giant-tiger-customer-data-breach-1.7154572?&web_view=true
5. 德国 1.7万个 Microsoft Exchange 服务器易受到攻击
3月26日,德国联邦信息安全办公室 (BSI)警告称,德国大约 45000 台可以不受限制地从互联网访问的 Microsoft Exchange 服务器,大约有 12%已经不再为其提供安全更新”。此外,所有面向互联网的服务器中约有 25% 运行 Exchange 2016 和 2019,但没有安装最新的安全补丁。BSI 担心攻击者会通过利用 CVE-2024-21410 来破坏这些服务器,CVE-2024-21410 是一个严重的特权提升漏洞,允许攻击者了解目标用户的 NTLM 凭据并“中继”这些凭据,以将自己作为用户向易受攻击的 Exchange Server 进行身份验证。微软表示,它“已经意识到该漏洞被利用”,并且随后已将其添加到 CISA 的已知被利用漏洞目录中。
https://www.helpnetsecurity.com/2024/03/26/vulnerable-microsoft-exchange-servers/
6. 多个 Apple 产品中存在任意代码执行漏洞
3月26日,多个 Apple 产品中发现了一个漏洞 (CVE-2024-1580),该漏洞可能导致任意代码执行。成功利用此漏洞可能导致在登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。与具有管理用户权限的用户相比,其帐户配置为在系统上拥有较少用户权限的用户受到的影响可能更小。目前还没有关于此漏洞被大规模利用的报告。
https://www.cisecurity.org/advisory/a-vulnerability-in-multiple-apple-products-could-allow-for-arbitrary-code-execution_2024-031
京公网安备11010802024551号