​CISA 证实Cleo等文件传输软件已遭勒索软件实际利用，Clop勒索软件团伙宣称负责此次数据盗窃

2024年12月13日，美国网络安全与基础设施安全局（CISA）发布安全提醒称，Cleo Harmony、VLTrader 和 LexiCom 等多个文件传输软件中的一个严重安全漏洞，编号CVE-2024-50623正遭勒索软件攻击利用。该漏洞影响 5.8.0.21 版本之前的所有版本，能让未经身份验证的攻击者远程操控联网的脆弱服务器执行代码。

Clop勒索软件团伙已向BleepingComputer证实，他们是最近Cleo数据盗窃攻击的幕后黑手，利用零日漏洞入侵公司网络并窃取数据。

10月，Cleo修复了一个跟踪为CVE-2024-50623的漏洞，该漏洞允许不受限制地上传和下载文件，从而导致远程代码执行。然而，网络安全公司Huntress上周发现，原始补丁不完整，即便完全打了补丁的 Cleo 服务器仍可能因CVE-2024-50623的绕过手段被入侵。攻击者借此利用默认自动运行文件夹设置导入并执行任意 PowerShell 或 bash 命令。在利用此漏洞的同时，威胁行为者上传了一个JAVA后门，允许攻击者窃取数据、执行命令并进一步访问受感染的网络。

Cleo 已发布补丁修复此零日漏洞，敦促客户尽快升级到 5.8.0.24 版本。

Clop勒索软件团伙，又名TA505，于2019年3月首次出现，自2020年以来，该勒索软件团伙专门针对安全文件传输平台中以前未知的漏洞进行数据盗窃攻击。

美国国务院的正义奖励计划目前悬赏1000万美元，用于收集将Clop勒索软件攻击与外国政府联系起来的信息。

12月14日，许多用户反映在尝试使用Kimi时遇到了“网络连接错误”等问题，即使给予了全部权限依然无法解决问题。有些用户表示起初还能短暂恢复，但很快再次陷入无法使用的状态。

据了解，此次崩溃涉及多个时间段，在用户使用高峰期时影响更为严重。Kimi 的用户群体广泛，涵盖了需要处理学术论文的学生和研究人员、分析法律问题的专业人士和日常使用的普通用户等。这些用户在工作、学习和生活中对 Kimi 形成了一定程度的依赖，崩溃事件给他们带来了诸多不便。

出现大规模使用故障后，Kimi方面很快给出了回应，坚称自身系统并未出现所谓的“崩溃”状况，可能只是部分网络节点出现临时性波动，影响了部分用户的连接；整体的运行框架依然稳定。然而，这样的回应与大量用户仍旧在多个时间段持续遇到无法正常使用等问题的现实情况，形成了鲜明的对比。

公开资料显示，Kimi是月之暗面（Moonshot AI）于2023年10月推出的一款智能助手，是全球首个支持输入20万汉字的智能助手产品，目前已启动200万字无损上下文内测。

近日，网络威胁行为者正利用一款名为 IOCONTROL 的新型恶意软件，攻击以色列和美国关键基础设施所使用的物联网（IoT）设备，以及运营技术/监控与数据采集（OT/SCADA）系统。

被攻击的目标设备涵盖路由器、可编程逻辑控制器（PLC）、人机界面（HMI）、网络摄像头、防火墙以及燃油管理系统等，该恶意软件的模块化特性使其具备攻击多种不同厂商设备的能力。

Claroty 的 Team82 研究人员发现并采样 IOCONTROL 进行分析后报告称，这是一款国家级网络武器，能对关键基础设施造成严重破坏。据悉，这款工具与黑客组织 CyberAv3ngers 有关，该组织过去就热衷于攻击工业系统OpenAI 近期还指出，该威胁组织利用 ChatGPT 破解 PLC，编写自定义 bash 和 Python 漏洞利用脚本，谋划入侵后的攻击活动。

Orpak 和 Gasboy 燃油管理系统已被沦为目标。研究人员从 Gasboy 燃油控制系统的设备支付终端 OrPT提取出恶意软件样本，但不清楚黑客如何将IOCONTROL植入其中。在这些设备里，IOCONTROL 能够操控油泵、支付终端及其他外围系统，可能引发系统中断或数据被盗。截至 2024 年 12 月 10 日，经UPX加壳的恶意软件二进制文件未被 66 款 VirusTotal 杀毒引擎检测到。

LKQ在近日提交给美国证券交易委员会（SEC）的 8-K 表格文件中称，其加拿大分公司于11月13日遭入侵，业务运营因此一度中断。LKQ是一家美国上市公司，专注于汽车替换零部件、组件以及车辆维修保养服务。该公司在 25 个国家拥有 4.5万名员工。

公告文件显示：“LKQ 公司检测到加拿大公司部分信息化业务系统遭未经授权访问，此次攻击扰乱了公司部分在线业务的正常运营。攻击发生后，我们立即着手采取措施对事件展开调查、遏制并恢复，包括启动安全事件响应及恢复计划，与行业第三方取证调查人员合作，以及对受影响系统采取遏制措施。公司还迅速通知了执法部门。目前正在分析受事件影响的数据，并将适时通知受影响的各方。”

LKQ表示，预计此次事件不会对本财年剩余时间的财务状况或运营产生重大影响，但其所采取遏制措施在数周内可能会给业务系统造成一定干扰。

近日，Datadog安全实验室研究人员发现，MUT-1244威胁行为者发动了一场历时长达一年的大规模攻击行动，利用植入木马的 WordPress 凭据检查器，窃取了超39万个 WordPress 账户凭证。

研究人员指出，在数百名受害者的受侵系统中，SSH私钥和AWS访问密钥也遭窃取。受害者先是被数十个植入木马的 GitHub 仓库推送的相同第二阶段有效载荷感染，这些仓库提供针对已知安全漏洞的恶意概念验证（PoC）漏洞利用程序。与此同时，攻击者通过钓鱼活动诱导目标安装伪装成 CPU微码更新的虚假内核升级程序。

钓鱼邮件诱使受害者执行命令从而安装恶意软件，而虚假仓库则骗过了那些寻找特定漏洞利用代码的安全专业人员和威胁行为者。而且这些仓库的命名会纳入合法数据源，容易被误当作是漏洞的概念验证仓库。此前，就有威胁行为者利用虚假概念验证漏洞利用程序锁定研究人员，企图窃取有价值的研究成果或入侵网络安全公司的网络。

美国司法部称，已查封了“Rydox”域名。这是一个从事个人详细信息交易的暗网市场。在此次取缔行动中，当局逮捕了三人。其中，26岁的Ardit Kutleshi和 28 岁的Jetmir Kutleshi在科索沃被捕，将被引渡至美国宾夕法尼亚西区受审；第三名被告Shpend Sokoli在阿尔巴尼亚被捕，将在当地接受刑事指控。

宾夕法尼亚西区的联邦检察官Eric Olshan表示：“Rydox 市场堪称一站式交易场所，超 1.8万名网络犯罪客户能从 30 多万种网络犯罪工具中随意挑选。网络犯罪虽常涉及境外行为及外国人员，但造成的危害在本地极为惨重，我们社区居民就因个人敏感信息被盗用而遭受经济重创。”

警方文件显示，Rydox在存续期间获利颇丰。据称，网站管理员促成了约 7600 笔涉及个人身份信息、卡号及账户凭证的交易，约8年时间里从中获利 23 万美元。此外，还有其他网络犯罪及恶意软件包的交易金额超 32 万美元。

日前，韩国个人信息保护委员会（PIPC）宣布，法国安盛集团（简称“AXA”）因违反《个人信息保护法》（PIPA）的相关规定，拟对其处以27.15亿韩元（约合189万美元）的罚款。

PIPC于2023年8月启动对AXA的调查，重点关注其在收集和使用客户个人信息方面的不当行为。调查结果显示，AXA通过弹出窗口的方式诱导用户更改同意设置，尽管弹窗“有效”征集了用户同意，但未明确告知用户其个人信息将用于营销目的。此外，AXA将客户数据用于营销目的，并由此产生了548个垃圾邮件投诉。

进一步调查显示，AXA在实施弹窗前并未咨询公司数据保护官（DPO），这同样违反了相关的合规要求。此外，尽管用户已停止使用保险服务或与AXA签订保险合同超过一年，AXA仍未按规定销毁其客户数据。

基于上述调查结果，PIPC认定AXA违反了PIPA第15条、第21条和第31条的相关规定。

据央视《新闻联播》报道，国务院总理李强12月16日主持召开国务院常务会议，学习贯彻习近平总书记在中央经济工作会议上的重要讲话精神，对贯彻落实中央经济工作会议决策部署作出安排。

在本次会议中，审议通过了《公共安全视频图像信息系统管理条例（草案）》，指出要规范公共安全视频系统建设和使用，更好维护公共安全、保护个人隐私。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除