4月7日,星期一,您好!中科汇能与您分享信息安全快讯:
01
Cisco CSLU严重后门漏洞遭黑客积极利用,管理员需立即修补
Cisco警告管理员修补一个已被攻击者利用的严重Cisco Smart Licensing Utility(CSLU)漏洞(CVE-2024-20439),该漏洞暴露了一个内置的后门管理账户。
CSLU是一款Windows应用程序,用于在本地管理许可证和关联产品,无需连接到Cisco基于云的Smart Software Manager解决方案。Cisco于去年9月修补了这个安全漏洞,将其描述为"管理账户的未记录静态用户凭证",允许未经身份验证的攻击者通过CSLU应用程序的API远程登录未修补系统,并获得管理员权限。
值得注意的是,CVE-2024-20439仅影响运行易受攻击的Cisco Smart Licensing Utility版本的系统,且只有在用户启动CSLU应用程序时才可被利用(该应用默认不在后台运行)。
02
“剪贴板劫持”利用伪造的验证码通过被黑网站窃取剪贴板数据
近日发现了一种名为“KongTuke”的复杂新型网络攻击链,它通过入侵合法网站攻击毫无戒心的互联网用户。
Palo Alto Networks 的 Unit 42 团队的 Bradley Duncan 在一份报告中详细介绍了此次攻击,该攻击利用恶意脚本和伪造的 CAPTCHA 页面劫持受害者的剪贴板并可能安装未识别的恶意软件。
该调查结果于 2025 年 4 月 4 日分享,Unit 42 Intel 在 X 上发布了更多见解,凸显了此次活动日益增长的威胁。
KongTuke 攻击始于向合法但易受攻击的网站注入恶意脚本。报告中引用的一个例子是 hxxps://lancasternh[.]com/6t7y.js,它会将用户重定向到 hxxps://lancasternh[.]com/js.php 上的辅助脚本。
该脚本收集有关受害者设备的详细信息,包括 IP 地址、浏览器类型和引荐来源数据,以 base64 格式编码。
从那里,用户会被引导到一个模仿 CAPTCHA 的欺骗性“验证您是人类”页面,CAPTCHA 是一种常见的安全功能,旨在区分人类和机器人。
然而,这个 CAPTCHA 是个诡计。该页面不验证身份,而是采用一种称为“剪贴板劫持”或“粘贴劫持”的技术。它会秘密地将恶意的 PowerShell 脚本注入受害者的剪贴板,并附带指示,敦促用户通过 Windows 运行窗口粘贴并执行该脚本。
03
损失已达百亿美元,汽车行业网络安全形势日益严峻
根据网络安全公司VicOne的最新研究,2022年至2024年间,汽车网络攻击已造成数百亿美元的损失,凸显了车辆安全面临的日益严峻威胁。研究发现,安全漏洞数量在2024年达到峰值,其中超过77%与车载系统相关。
VicOne在2024年识别了530个与汽车相关的漏洞,几乎是2019年的两倍,这表明攻击面正在迅速扩大。电动汽车(EVs)和软件定义汽车(SDVs)面临着越来越多的风险,包括充电基础设施薄弱、人工智能操纵和不安全的供应链。值得注意的是,人工智能驱动的系统,尤其是大型语言模型(LLMs),带来了新的安全风险。网络犯罪分子正在利用暗网网络交易黑客技术和被盗数据,使威胁更加复杂化。
报告呼吁在整个供应链中加强网络安全措施,提高数据透明度,并加强第三方安全,以防止广泛的系统中断。这需要制造商、供应商和安全专家之间更紧密的合作来保护消费者和关键基础设施。
04
美国一军事承包商遭勒索软件攻击,300万文件疑被窃取
InterLock勒索软件组织近日宣称对3月1日发生的National Presto Industries网络攻击事件负责。该家电和弹药制造公司此前在3月初向美国证券交易委员会(SEC)提交的监管文件中披露了这一事件,表示正在努力恢复系统,同时已实施临时措施以维持关键功能。
InterLock将National Presto Industries的子公司National Defense Corporation添加到其基于Tor的泄露网站上,证实此次攻击确实使用了勒索软件。该勒索软件团伙声称从公司窃取了大量数据,包括约45万个文件夹,内含近300万个文件。
据报道,InterLock表示曾试图勒索该公司,但谈判未能成功,因为National Defense Corporation认为该事件并非重大事件,被盗信息对他人没有价值,且数据泄露对其财务影响微乎其微。此外,该公司还声称已经恢复了系统,所有操作均已恢复正常。然而,勒索软件团伙声称已加密至少三个National Presto Industries实体的系统,包括为军方和执法部门生产弹药和爆炸物的AMTEC。
05
Oracle因云数据泄露事件面临集体诉讼,或影响数百万用户
Oracle公司近日正面临一场在德克萨斯州提起的集体诉讼,指控其发生大规模云数据泄露事件。该诉讼于2025年3月31日在德克萨斯州西区美国地方法院提交,指控Oracle未能保护敏感信息并延迟通知受影响个人。
此次泄露事件最初于2025年3月22日被报道。黑客"rose87168"在Breach Forums上声称于2025年1月获取了Oracle云基础设施的访问权限。据该黑客称,被泄露的数据包括加密的SSO密码、Java KeyStore(JKS)文件、企业管理器JPS密钥以及与Oracle Cloud的SSO和LDAP系统相关的用户凭证。被盗数据集据称包含约600万用户的信息。
尽管Oracle公开否认发生泄露,但网络安全公司CloudSEK进行的独立调查声称找到了"确凿证据"。3月31日,黑客在Breach Forums上发布了额外证据,包括内部LDAP记录和Oracle云环境的部分凭证。据报道,论坛管理员已验证数据的真实性。
06
FIN7黑客组织推出高级Anubis后门,可完全控制Windows系统
网络安全公司PRODAFT最新研究发现,网络犯罪组织FIN7(又称Savage Ladybug)开发了一款名为Anubis的基于Python的新型后门恶意软件,该工具能够让攻击者完全远程控制被感染的Windows系统,给企业带来严重威胁。
Anubis后门以ZIP包形式分发,包含一个Python脚本和多个Python可执行文件。该恶意软件采用了混淆技术以逃避检测,主要通过钓鱼邮件传播,并托管在被入侵的SharePoint站点上。目前大多数杀毒软件无法检测到这一威胁。
Anubis使用一个仅约30行的Python脚本作为主入口点,负责解密并执行真正的有效载荷。该后门针对Windows系统,使用AES-CBC加密和base64编码,通过exec函数加载有效载荷。其混淆方法是用相似字符替换变量名,增加了分析难度。
07
勒索软件生态系统重组:DragonForce接管RansomHub基础设施
根据Cyble威胁情报研究人员近日发布的咨询报告,勒索软件组织DragonForce声称正在接管过去一年中最大的勒索软件组织RansomHub的基础设施。
Cyble表示,DragonForce的运营者在RAMP论坛上宣布了一个“新项目",随后在其基于onion的数据泄露站点(DLS)上发布了相同信息。DragonForce称该组织正在启用全新基础设施:两个由CAPTCHA保护的新onion链接,但显示的是RansomHub勒索软件组织的标志。DragonForce在RAMP上发布的帖子写道,“RansomHub很快就会恢复,他们只是决定迁移到我们的基础设施!我们是可靠的合作伙伴。
这是'项目'如何运作的一个很好例子,DragonForce勒索软件卡特尔的新选择!"值得注意的是,RansomHub官方onion站点自3月31日起已离线,这引发了可能被接管的猜测。
08
英国皇家邮政疑遭144GB数据泄露,或源自供应商 Spectos安全漏洞
英国皇家邮政集团(Royal Mail Group)疑似遭遇大规模数据泄露,共计144GB的内部文件、客户信息和营销数据被公开。该事件于2025年3月31日首次在网络犯罪论坛Breach Forum上被用户GHNA披露。
泄露的数据包含293个文件夹和16,549个文件,内容涵盖:
客户个人身份信息:姓名、完整地址、邮政编码和配送详情
内部通信:会议视频录像,特别是Spectos与Royal Mail员工之间的Zoom通话
运营数据:配送路线数据集、邮局位置信息和后端SQL数据库
营销基础设施数据:Mailchimp邮件列表导出,显示订阅者元数据和详细同意信息
GHNA在披露皇家邮政集团数据的同时,还发布了一张皇家邮政集团与德国数据分析和性能管理公司Spectos之间Zoom会议录像的截图,并称数据再次由 Spectos 提供,让人怀疑本次数据泄露经由第三方供应商Spectos实现。
09
因数据隐私担忧,基因共享平台openSNP宣布永久关闭并删除所有数据
基因和表型数据共享平台openSNP于2025年4月30日正式关闭,并删除所有用户提交的数据,原因是对个人基因组数据可能被滥用的担忧,尤其是来自威权政府的潜在风险。
openSNP是一个免费开源平台,允许个人上传和分享其基因和表型数据用于研究和教育目的。该项目最初旨在民主化基因数据的获取,打破商业DNA测试公司的垄断,使研究人员或普通人能够在没有经济或机构障碍的情况下探索人类基因数据。
多年来,openSNP成为同类平台中最大的数据库之一,被广泛应用于研究、教育,甚至社区主导的调查。虽然与23andMe没有隶属关系,但其收到的绝大多数贡献来自通过23andMe进行基因组测序的用户。随着23andMe申请破产,提交给openSNP的新数据流基本停止。
10
Verizon Call Filter API 曝重大安全漏洞,任何用户都能查看他人通话记录
安全研究人员近日发现,一个存在于Verizon Call Filter功能中的安全漏洞允许用户通过未受保护的API请求访问其他Verizon Wireless号码的来电记录。
Verizon的Call Filter应用是一款免费工具,提供垃圾电话检测和自动拦截功能。该应用的免费版本在直接从Verizon购买的符合条件的Android和iOS设备上预装并默认启用,据信被数百万设备使用。研究人员发现,当使用Call Filter应用时,应用会连接到API端点https://clr-aqx.cequintvzwecid.com/clr/callLogRetrieval,以检索登录用户的来电历史并在应用中显示。该端点需要在Authorization头中使用Bearer方案的JWT(JSON Web Token),并使用X-Ceq-MDN头指定要检索通话历史记录的手机号码。
关键漏洞在于,JWT载荷中登录用户的电话号码与请求来电记录的电话号码之间没有进行验证。因此,任何用户都可以使用自己有效的JWT令牌发送请求,但将X-Ceq-MDN头值替换为另一个Verizon电话号码,从而检索该号码的来电历史。这些通话元数据看似无害,但可能会成为强大的监视工具。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):美国一军事承包商遭勒索软件攻击,300万文件疑被窃取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论