01.
重点数据泄露事件
在线词典Glosbe数据泄露
泄露时间:2024-03-06
泄露内容:大型在线词典Glosbe在公网对外开放了一个MongoDB服务器,泄露了近700万用户的个人数据、加密密码、社交媒体标识符和其他详细信息。
泄露数据量:700万
关联行业:互联网
地区:波兰
NewGen公司数据泄露
泄露时间:2024-02-21
泄露内容:NewGen是位于加利福尼亚州的一家提供计算机支持与服务的公司,该公司近期因数据泄露事件导致消费者的敏感信息被未授权访问,其中包括他们的姓名、社会安全号码、地址、健康信息、出生日期、驾驶执照号码、州身份证号码、索赔信息和财务信息。
泄露数据量:10.5万
关联行业:IT资讯
地区:美国
美国运通数据泄露
泄露时间:2024-03-04
泄露内容:由于第三方数据存在未授权访问,导致美国运通银行卡账号、姓名、合约日期以及一些其他信息泄露,美国运通公司是一家旅游服务及综合性财务、金融投资及信息处理的环球公司,在信用卡、旅行支票、旅游、财务计划及国际银行业占领先地位。
泄露数据量:未公开
关联行业:金融
地区:美国
Golden Corral连锁餐厅数据泄露
泄露时间:2024-03-04
泄露内容:美国Golden Corral连锁餐厅披露了一起数据泄露事件,超180000份个人信息遭到泄露,被盗信息可能包括员工、家属和受益人姓名、社会安全号码、财务账户信息、驾驶执照号码、医疗信息、用户名和密码以及健康保险信息。
泄露数据量:18万
关联行业:餐饮
地区:美国
02.
热点资讯
PetSmart为防止撞库攻击而重置用户密码
PetSmart是美国最大的宠物零售商,近期PetSmart向一些客户发送电子邮件通知称,这些客户正成为撞库攻击的目标。为了安全起见,PetSmart会重置在撞库攻击期间登录的所有帐户密码,因为他们无法确定登录的用户是帐户所有者还是黑客,同时强调系统并没有遭到损害。撞库攻击是指威胁行为者收集数据泄露中暴露的登录凭据,然后使用这些凭据尝试登录其他站点。一旦成功入侵,凭据就会被用于恶意行为,包括进行诈骗、发送垃圾邮件或发起其他攻击。
消息来源:
https://www.bleepingcomputer.com/news/security/petsmart-warns-of-credential-stuffing-attacks-trying-to-hack-accounts/
加拿大金融情报机构遭到网络攻击
FINTRAC(加拿大金融交易和报告分析中心)是一家总部位于渥太华的政府机构,旨在侦查和调查洗钱及类似犯罪行为。该机构是负责处理可疑交易(包括与恐怖主义融资有关的交易)的国家机构,也是该国情报和执法机构的合作伙伴。由于近期发生的网络安全事件,导致其企业系统下线,该机构在其官网发布的声明表示,中心的情报和机密系统没有遭到影响,同时也没有透露该事件的性质。
消息来源:
https://therecord.media/canada-fintrac-cyberattack-systems-offline
勒索软件团伙承认编造了Epic的安全事件
一个自称Mogilevich的组织声称已经访问了Epic Games的数据,并威胁称除非付费,否则将公开其数据。但Epic本身否认自己遭到黑客攻击,现在Mogilevich也承认了这一骗局。Mogilevich组织表示他们并不是勒索软件而是诈骗。他们试图通过伪造入侵大型公司并勒索的事件提升知名度从而去诈骗别的黑客购买他们的工具,当然工具也是不存在的,他们之所以坦白是因为觉得自己不是黑客,而是天才。
消息来源:
https://www.ign.com/articles/fake-ransomware-gang-admits-it-made-up-epic-games-hack
工资停滞不前,网络安全专业人员转向网络犯罪
根据英国特许信息安全协会(CIISec)的最新研究,网络安全专业人员越来越愿意兼职成为网络犯罪分子,以增加收入。该研究所分析了2023年6月至12月的暗网论坛招聘广告,发现数量惊人的网络安全专业人士似乎处于职业生涯的瓶颈阶段。CIISec警告,在许多情况下,薪资并不能回报大多数安全专业人员所处的长时间工作和高压环境。分析表明,考虑到离开该行业的人数,拥有高技能的人员或将不顾一切地在一个能为他们现有的技能和知识带来丰厚回报的领域寻找工作。
消息来源:
https://www.infosecurity-magazine.com/news/cyber-pros-cybercrime-salaries/
03.
热点技术
Skype、Google Meet和Zoom被用于木马诈骗
据云安全提供商Zscaler称,攻击者开始在Android和Windows操作系统使用在线会议进行远程访问木马(RAT)的分发。为了引诱受害者下载RAT,攻击者创建了多个虚假在线会议网站,冒充Microsoft旗下的Skype、Google Meet和Zoom等品牌。攻击者利用共享网络托管服务在单个IP地址上托管所有网站。恶意负载分别是.apk和.bat格式,涉及到的木马家族为SpyNoteRAT、NjRAT和DCR。
消息来源:
https://www.infosecurity-magazine.com/news/skype-google-meet-zoom-trojan-scam/
针对Linux平台上Docker、Hadoop、Redis和Confluence的恶意软件活动
安全研究人员发现了一种新兴的恶意软件活动,攻击目标是托管了ApacheHadoopYARN、Docker、Confluence和Redis等面向Web服务的配置错误的服务器。该恶意软件采用Golang开发恶意负载,旨在自动识别和利用易受攻击的主机。这些有效负载通过利用常见的错误配置和Confluence漏洞CVE-2022-26134来进行远程代码执行(RCE)攻击。在获得服务器的访问控制权限后,攻击者会部署shell脚本和建立Linux持久化并执行加密货币挖掘程序。该恶意软件利用了反取证技术并针对特定的云环境,包括国内的头部云厂商。
消息来源:
https://www.infosecurity-magazine.com/news/linux-malware-targets-docker/
钓鱼诈骗攻击采用新型DNS劫持技术
一个名为Savvy Seahorse的新DNS劫持技术正在利用复杂的网站来引诱目标进入虚假投资平台并窃取资金。这些钓鱼活动的目标包括俄语、波兰语、意大利语、德语、捷克语、土耳其语、法语、西班牙语和英语的使用者,这表明威胁行为者正在进行广泛撒网攻击,主要利用Facebook的广告和ChatGPT机器人套取受害者个人信息并引诱到钓鱼网站。Savvy Seahorse通过注册多个共享CNAME记录的短期子域来利用CNAME解析逃避检测,域名和IP地址不断变化的性质也使得真实IP主机能够抵御网络攻击,从而允许威胁行为者在钓鱼网站遭到破坏时不断创建新站点。
消息来源:
https://thehackernews.com/2024/03/cybercriminals-using-novel-dns.html
WogRAT恶意软件滥用在线记事本服务
一种名为“WogRAT”的新恶意软件针对Windows和Linux进行攻击,滥用名为“aNotepad”的在线记事本平台作为存储和拉取恶意代码的隐蔽通道。分发方法暂时未知,但恶意样本的名称类似于流行软件(flashsetup_LL3gjJ7.exe、WindowsApp.exe、WindowsTool.exe、Browser Fixup.exe、、ToolKit.exe),因此它们很可能通过恶意广告分发。值得注意的是,滥用aNotepad托管的Windows版本恶意软件伪装成了Adobe工具。aNotepad作为合法的在线服务不会被安全工具列入黑名单,但该恶意软件却包含恶意软件下载器的加密源代码,该源代码是动态编译和执行的,将恶意负载和加载器分离导致很难被杀毒工具查杀。
消息来源:
https://www.bleepingcomputer.com/news/security/new-wograt-malware-abuses-online-notepad-service-to-store-malware/
利用QEMU作为网络攻击的隧道网络流量代理
QEMU是一个免费的模拟器和虚拟机管理程序,允许在计算机上以访客身份运行其他操作系统。此外,QEMU还提供独特的功能,例如模拟各种硬件和虚拟网络。威胁参与者使用QEMU创建虚拟网络接口和套接字类型网络设备来连接到远程服务器,这使得威胁行为者能够创建从受害者系统到攻击者服务器的网络隧道,在传统的攻击中大量黑客使用了开源工具如FRP等作为流量代理导致被防护工具识别的风险极高,而QEMU虚拟机无缝链接和桥接分段网络组件的能力是绕过安全措施的关键,也可用于进一步横向破坏。
消息来源:
https://www.bleepingcomputer.com/news/security/hackers-abuse-qemu-to-covertly-tunnel-network-traffic-in-cyberattacks/
04.
热点漏洞
IBM Security Guardium操作系统命令注入漏洞
IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Security Guardium Key Lifecycle Manager存在操作系统命令注入漏洞,经过身份验证的远程攻击者可利用该漏洞通过发送特制请求来在系统上执行任意命令。
影响版本:
-
IBM Security Guardium Key Lifecycle Manager 3.0
-
IBM Security Guardium Key Lifecycle Manager 3.0.1
-
IBM Security Guardium Key Lifecycle Manager 4.0
-
IBM Security Guardium Key Lifecycle Manager 4.1
-
IBM Security Guardium Key Lifecycle Manager 4.1.1
JetBrains TeamCity身份验证绕过漏洞
TeamCity On-Premises存在一个身份验证绕过漏洞(CVE-2024-27198),在 2023.11.4 之前的 JetBrains TeamCity 中,攻击者可以绕过身份验证,并执行管理操作,JetBrains 是一家全球性软件公司,专门为软件开发者和团队打造可以提升工作效率的智能工具,该公司在周一的更新中解决了该漏洞。
影响版本:
TeamCity On-Premises <= 2023.11.4
VMware安全漏洞
VMware已发布补丁来解决影响ESXi、Workstation和Fusion的四个安全缺陷,其中包括两个可能导致代码执行的严重缺陷。这些漏洞被追踪为CVE-2024-22252和CVE-2024-22253,被描述为XHCI USB控制器中存在释放后重用(UAF)漏洞。Workstation和Fusion的CVSS得分为9.3,ESXi系统的CVSS得分为8.4。在虚拟机上拥有本地管理权限的恶意行为者可能会利用此问题在主机上运行虚拟机的VMX进程时执行代码。在ESXi上,漏洞利用包含在VMX沙箱内,而在Workstation和Fusion上,这可能会导致在安装Workstation或Fusion的计算机上执行代码。
补丁版本:
-
ESXi 6.5 - 6.5U3v
-
ESXi 6.7 - 6.7U3u
-
ESXi 7.0 - ESXi70U3p-23307199
-
ESXi 8.0 - ESXi80U2sb-23305545 and ESXi80U1d-23299997
-
VMware Cloud Foundation (VCF) 3.x
-
Workstation 17.x - 17.5.1
-
Fusion 13.x (macOS) - 13.5.1
Apple安全漏洞
Apple发布了紧急安全更新,以解决两个iOS 0day漏洞,分别为CVE-2024-23225和CVE-2024-23296,这些漏洞在针对iPhone设备的攻击中被利用。CVE-2024-23225是一个内核内存损坏漏洞,具有任意内核读写能力的攻击者可能能够绕过内核内存保护。CVE-2024-23225是一个RTKit内存损坏漏洞,具有任意内核读写能力的攻击者可能能够绕过内核内存保护。
影响版本:
-
iPhone XS and later, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch, and iPad Pro 12.9-inch 1st generation
-
iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
Sunhillo SureLine networkDiag.cgi操作系统命令注入漏洞
Sunhillo SureLine包含一个操作系统命令注入漏洞,允许攻击者通过/cgi/networkDiag.cgi中的ipAddr或dnsAddr中的shell元字符造成拒绝服务或利用设备在网络上持久存在。
影响版本:
Sunhillo SureLine <= 8.7.0.1.1
05.
攻击情报
本周部分重点攻击来源及攻击参数如下表所示,建议将以下IP加入安全设备进行持续跟踪监控。
请注意:以上均为监测到的情报数据,盛邦安全不做真实性判断与检测
原文始发于微信公众号(盛邦安全应急响应中心):烽火狼烟丨暗网数据及攻击威胁情报分析周报(03/04-03/08)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论