黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

admin 2024年11月29日14:39:37评论33 views字数 4445阅读14分49秒阅读模式
黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

1129日,星期五 ,您好!中科汇能与您分享信息安全快讯:

黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

01

前实习生篡改代码攻击大模型训练,字节跳动起诉要求索赔800万元

据《法制日报》报道,字节跳动已将前实习生田xx告上法庭,指控其篡改代码以攻击公司内部模型训练。字节跳动要求法院判决田xx赔偿公司因侵权行为遭受的损失共计800万元,以及额外的合理支出2万元,并公开向公司道歉。此案由北京市海淀区人民法院正式受理。

今年10月,有媒体称“字节大模型训练任务被实习生攻击”,并有网传信息称“涉及8000多卡、损失上千万美元”。后字节跳动通过官方账号发布事实澄清,称确有实习生发生严重违纪,涉事实习生已于2024年8月被公司辞退,并将其行为同步给所在学校和行业联盟,但相关报道也存在部分夸大及失实信息。

字节跳动内部人士透露,由于田某某为在读博士,字节跳动将其辞退后首先交由校方处理。但在事件处理期间,田某某多次对外否认,称攻击模型训练任务的不是自己,而是别的实习生。考虑到田某某完全没有意识到错误,且涉事行为已触犯公司安全红线,字节跳动最终决定向法院起诉,以表明其严肃态度、杜绝类似事件再次发生。

02

钓鱼攻击结合VPN漏洞利用,新型NachoVPN攻击手法被曝光

安全研究机构AmberWolf近日披露了一种名为"NachoVPN"的新型攻击方式,该攻击利用SSL-VPN客户端的安全漏洞,通过恶意VPN服务器向未修补的Palo Alto和SonicWall客户端安装恶意更新。

研究人员发现,攻击者可以通过社会工程学或钓鱼攻击,诱使目标用户将其SonicWall NetExtender和Palo Alto Networks GlobalProtect VPN客户端连接到攻击者控制的VPN服务器。一旦成功,攻击者可以窃取受害者的登录凭证、以提升权限执行任意代码、通过更新机制安装恶意软件,甚至通过安装恶意根证书发起代码签名伪造或中间人攻击。

目前,AmberWolf已公开发布了一个名为NachoVPN的开源工具,用于模拟可利用这些漏洞的恶意VPN服务器。该工具支持多个主流企业VPN产品,包括Cisco AnyConnect、SonicWall NetExtender、Palo Alto GlobalProtect和Ivanti Connect Secure,并可根据连接的具体客户端调整其响应。

03

黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

安全研究机构Aqua Nautilus最新发现,黑客组织Matrix正在部署大规模IoT僵尸网络,并利用大量互联网设备发起分布式拒绝服务(DDoS)攻击。

研究显示,Matrix组织主要针对物联网设备、摄像头、路由器、DVR和企业系统等联网设备,通过暴力破解、利用弱口令和系统配置错误等方式获取初始访问权限。攻击者将被入侵的设备整合成僵尸网络,并通过Telegram机器人"Kraken Autobuy"出售针对传输层(Layer 4)和应用层(Layer 7)的DDoS攻击服务。

调查发现,攻击者利用了多个新旧漏洞,包括CVE-2014-8361、CVE-2017-17215、CVE-2024-27348等,并在GitHub上存储和管理恶意工具和脚本,主要使用Python、Shell和Golang编写。病毒分析显示,攻击者使用了DDoS Agent、SSH Scan Hacktool、PyBot等多种工具来控制被入侵设备并发起大规模DDoS攻击。

研究人员指出,目前约有3500万台设备存在被利用风险。如果1%的设备被感染,僵尸网络规模将达到35万台;如果感染率达到5%,规模将扩大到170万台,堪比历史上重大攻击事件的规模。

04

WordPress热门反垃圾邮件插件现危险漏洞,或波及20万网站安全性

近日,安全研究人员在多款流行的WordPress反垃圾邮件插件中发现两个严重安全漏洞,未经身份验证的攻击者可利用这些漏洞在受影响站点上安装恶意插件,并可能实现远程代码执行。

这两个漏洞分别被编号为CVE-2024-10542和CVE-2024-10781,其中CVE-2024-10781是由于插件在"perform"函数中未对"api_key"值进行空值检查所致;而CVE-2024-10542则源于checkWithoutToken()函数存在通过反向DNS欺骗的授权绕过问题。无论使用哪种绕过方法,攻击者都可以在目标系统上安装、激活、停用,甚至卸载插件。

研究人员表示,这两个漏洞本质上都是授权绕过问题,攻击者可以借此安装任意插件。如果被激活的插件本身存在漏洞,则可能导致远程代码执行。CleanTalk已在本月发布的6.44和6.45版本中修复了这些漏洞。

与此同时,安全公司Sucuri警告称,已发现多个针对WordPress网站的攻击活动。攻击者通过入侵网站注入恶意代码,实现访客重定向、窃取登录凭证,以及部署能够捕获管理员密码的恶意软件。

05

无需交互即可突破沙箱,RomCom组织利用双零日漏洞发动无交互攻击

日前,安全厂商ESET的研究人员发现黑客组织RomCom通过结合Firefox远程代码执行漏洞(CVE-2024-9680)和Windows任务计划程序权限提升漏洞(CVE-2024-49039),成功实现了无需用户交互的自动化攻击。这是RomCom组织第二次被发现在野利用重大零日漏洞。

据介绍,攻击者通过构建虚假网站,在受害者访问时自动触发零点击漏洞利用链。攻击过程中,Firefox漏洞首先在浏览器受限环境下执行代码,随后Windows漏洞帮助攻击者突破Firefox沙箱限制,最终在目标系统上植入后门程序。该后门具备执行命令和下载额外模块的能力。

ESET的监测数据显示,此次攻击活动受影响用户主要分布在欧洲和北美地区。Mozilla在接到漏洞报告后迅速做出响应,在25小时内为Firefox和Firefox ESR发布了修复补丁。微软则于11月12日修复了Windows系统漏洞。ESET已发布了这两个漏洞的根因分析、shellcode技术分析以及相关的威胁指标,以帮助组织进行防护。

06

巧妙伪装npm包名,Linux系统SSH后门植入威胁快速升级

安全研究人员近期发现黑客正在利用软件包名称仿冒(typosquatting)攻击向npm用户植入SSH后门。Socket威胁研究团队披露,一个化名为"sanchezjosephine180"的攻击者发布了六个恶意npm软件包,通过模仿知名库的名称来欺骗用户。

这些恶意软件包分别仿冒了下载量达数千万次的流行库,包括"babel-cli"、"chokidar"、"streamsearch"、"ssh2"、"npm-run-all"和"node-pty"。攻击者通过利用常见的拼写错误,并滥用postinstall脚本分发恶意代码。软件包被安装时,脚本会执行node app.js,同时安装合法的包以掩盖其真实意图。据统计,这些恶意软件包已被下载超过700次。一旦安装,它们会在Linux系统中植入SSH后门,让攻击者获得未经授权的系统访问权限。这可能导致系统被秘密入侵、安全措施被绕过、网络被全面入侵,甚至成为勒索软件攻击的跳板。

研究人员还发现了第七个名为"parimiko"的可疑包,虽然目前没有恶意行为,但它模仿了流行的Python SSH库"paramiko",可能为未来的恶意更新埋下隐患。Socket安全专家建议开发人员和组织在安装软件包前仔细核对包名,实施严格的版本控制,定期审计依赖项,并使用专业的安全工具进行检测。

07

邮件安全服务遭恶意利用,URL重写技术成为钓鱼攻击新路径

安全研究机构Perception Point最新报告显示,网络攻击者正在加大利用"URL重写"技术发起钓鱼攻击,通过多重重定向机制规避安全检测。这种攻击手法近期呈现显著上升趋势,且手法愈发复杂。

URL重写原本是一种安全防护措施。安全电子邮件网关(SEG)等邮件保护服务会将收到邮件中的URL链接,替换为其防护域名下的新链接。当用户点击重写后的URL时,该服务会在重定向到目标网页前先进行安全扫描。然而,攻击者通过入侵使用此类服务的企业账户,利用被入侵的邮件账户生成看似合法的包装链接。

据观察,攻击者开始采用"多重重写攻击",即通过两个不同安全厂商的服务对恶意链接进行双重包装,进一步掩盖其来源。这种经过双重包装的链接被伪装成SharePoint文档分享邮件发送给目标用户。攻击者还添加了第三层伪装——CAPTCHA验证,用于阻止自动化威胁检测系统的分析。通过CAPTCHA后的恶意网页会伪装成Microsoft登录页面,意图窃取用户的Microsoft凭证。

URL重写攻击之所以有效,是因为某些邮件安全服务会将自己的域名列入白名单,这意味着经该服务包装的URL在被同一服务再次扫描时不会被拦截。攻击者不仅利用此特点在组织内部发起攻击,还将一个组织的被入侵账户生成的链接用于攻击其他组织。

08

黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

安全研究机构Aqua Nautilus最新发现,黑客组织Matrix正在部署大规模IoT僵尸网络,并利用大量互联网设备发起分布式拒绝服务(DDoS)攻击。

研究显示,Matrix组织主要针对物联网设备、摄像头、路由器、DVR和企业系统等联网设备,通过暴力破解、利用弱口令和系统配置错误等方式获取初始访问权限。攻击者将被入侵的设备整合成僵尸网络,并通过Telegram机器人"Kraken Autobuy"出售针对传输层(Layer 4)和应用层(Layer 7)的DDoS攻击服务。

调查发现,攻击者利用了多个新旧漏洞,包括CVE-2014-8361、CVE-2017-17215、CVE-2024-27348等,并在GitHub上存储和管理恶意工具和脚本,主要使用Python、Shell和Golang编写。病毒分析显示,攻击者使用了DDoS Agent、SSH Scan Hacktool、PyBot等多种工具来控制被入侵设备并发起大规模DDoS攻击。

研究人员指出,目前约有3500万台设备存在被利用风险。如果1%的设备被感染,僵尸网络规模将达到35万台;如果感染率达到5%,规模将扩大到170万台,堪比历史上重大攻击事件的规模。

黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

本文版权归原作者所有,如有侵权请联系我们及时删除

原文始发于微信公众号(汇能云安全):黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月29日14:39:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客组织Matrix部署巨型IoT僵尸网络,超3500万设备或被控制https://cn-sec.com/archives/3449013.html

发表评论

匿名网友 填写信息