6月19日,星期四,您好!中科汇能与您分享信息安全快讯:
01
支付巨头Paddle因纵容技术支持骗局向FTC缴纳500万美元罚金
英国支付处理商Paddle.com及其美国子公司将支付500万美元,与美国联邦贸易委员会(FTC)达成和解,终止对其促成欺诈性技术支持计划的指控。
FTC调查显示,Paddle未能对客户进行充分筛查和欺诈预防,使Restoro、Reimage和PC Vark等外国运营商得以利用美国信用卡系统。这些公司通过虚假病毒警报和弹窗,常冒充Microsoft或McAfee,诱导消费者购买不必要的软件或技术支持服务,并通过未授权的订阅续费收费。
数据显示,Paddle为PC Vark处理了1250万美元交易,尽管其拒付率超过7%;同时为Restoro和Reimage处理了超过3700万美元的交易。FTC指控Paddle内部通信表明公司知晓这些欺诈活动,并采用Ethoca和Verifi等工具在交易被正式报告前主动退款,掩盖真实欺诈率。
02
Sitecore CMS被曝存在可导致完整RCE的链式漏洞
安全研究公司WatchTowr发现了流行内容管理系统(CMS)提供商Sitecore的七个安全漏洞。Sitecore的客户包括汇丰银行、联合航空、宝洁和欧莱雅等大型企业。
在6月17日发布的首份报告中,WatchTowr披露了三个漏洞,这些漏洞组合可允许未经身份验证的攻击者在Sitecore Experience Platform 10.4.1版本上实现完整的远程代码执行(RCE)。
最令人震惊的是,研究人员发现最新版本的Sitecore默认配置了一个硬编码密码"b"。攻击者可以利用这个简单密码,结合两个身份验证后的RCE漏洞,构建完整的预认证RCE攻击链。WatchTowr已识别至少2.2万个暴露的Sitecore实例,但估计实际数量可能显著更高。这些漏洞已在5月11日发布的Sitecore Experience Platform最新版本中得到修复。WatchTowr表示将在即将发布的报告中披露Sitecore产品中的另外四个漏洞。
03
CNCERT提醒:防范BlackMoon变种HTTPBot僵尸网络的风险
国家互联网应急中心(CNCERT)6月18日发布《关于BlackMoon变种HTTPBot僵尸网络的风险提示》,指出CNCERT监测发现一种名为HTTPBot的DDoS僵尸网络。
该木马基于Go语言开发,主要特征包括:硬编码C&C服务器域名(jjj.jjycc.cc,解析为104.233.144.23)、隐蔽运行、通过注册表实现自启动、与C&C服务器保持通信等。木马通常以类似Windows记事本程序的文件名(如notepadl.exe、notepar.exe)进行传播,通过钓鱼方式诱导用户执行。
HTTPBot内置7种针对HTTP协议的DDoS攻击模式,包括HttpAttack、HttpAutoAttack、HttpsFpDIAttack、WebSocketAttack、POSTAttack、BrowserAttack和CookieAttack。这些攻击模式采用动态混淆技术,使攻击流量与普通业务流量难以区分,并能绕过多种防护机制。
04
Instagram现大量AI深度伪造广告冒充加拿大银行发起钓鱼攻击
Instagram平台上出现了大量冒充加拿大蒙特利尔银行(BMO)和EQ Bank(Equitable Bank)的欺诈广告,利用AI深度伪造技术和官方品牌形象来诱骗用户提供个人金融信息。
安全研究人员发现,这些广告通常采用两种手法:一种是模仿银行官方品牌和配色方案,承诺非常可观的利率(如4.5%),点击后会跳转至钓鱼网站;另一种是使用AI生成的深度伪造视频,冒充BMO首席投资策略师Brian Belski,诱导用户加入所谓的"私人WhatsApp投资群组"。
尽管相关欺诈广告已被举报,但Instagram仍未及时删除。安全专家建议用户谨慎点击社交媒体广告,即使它们看似来自正规机构,并验证所有链接是否为官方域名。
05
"GerriScary"漏洞允许攻击者入侵ChromiumOS等18个谷歌项目
安全研究人员发现了一个被命名为"GerriScary"的关键供应链漏洞(CVE-2025-1568),该漏洞可能允许攻击者向至少18个主要谷歌项目注入恶意代码,包括ChromiumOS、Chromium、Dart和Bazel等。
GerriScary漏洞利用三个相互关联的组件实现未授权代码提交:首先,Gerrit的默认配置向所有注册用户授予"addPatchSet"权限,允许任何拥有谷歌账户的人修改现有代码更改;其次,易受攻击的项目在"Copy Conditions"设置中存在逻辑缺陷,这些设置决定了先前代码审查的批准标签是否会延续到新版本;攻击者可以利用与自动提交机器人之间的竞争条件,在标有"Commit-Queue +2"的代码更改被自动合并前的短暂时间窗口内注入恶意代码。
在ChromiumOS和Dart仓库中,这个时间窗口约为五分钟,而其他谷歌仓库仅提供几秒到几分钟的时间。研究人员通过分析尝试修改提交消息时的HTTP响应代码来识别易受攻击的项目,"209"状态码表明存在所需权限且不会在项目日志中留下可疑记录。受影响的项目涵盖多个领域,包括ChromiumOS(Chrome OS设备的基础)、Dart(Flutter的编程语言)、Dawn和BoringSSL(Chromium第三方依赖)、Bazel(谷歌的构建系统)以及Gerrit本身等。
06
特朗普再次延长TikTok出售期限90天
美国白宫6月17日宣布,美国总统唐纳德·特朗普将再次给予短视频应用TikTok临时缓刑,使其有更多时间寻找买家以继续在美国运营。特朗普第三次延长禁令执行期限。
这款由字节跳动有限公司拥有的应用程序,多年来一直被美国视为安全隐患。根据2024年通过的立法,TikTok被要求剥离所有权或面临在美国的禁令,当时该应用在美国拥有约1.7亿用户。最初截止日期为1月19日,尽管该应用曾在谷歌和苹果应用商店中被移除导致一个月的暂停使用,但特朗普随后签署了一项行政命令延迟了禁令。
考虑到该应用的巨大人气,以及估计有700万美国小企业使用该平台,在美国全面禁止将是一项极不受欢迎的举措。据TikTok表示,2024年该平台为美国经济贡献了242亿美元。
07
大众集团旗下斯堪尼亚遭网络攻击,保险理赔数据被盗后遭勒索
瑞典汽车制造巨头斯堪尼亚(Scania)近日证实遭遇网络安全事件,威胁行为者利用被盗凭证入侵其金融服务系统,窃取了保险理赔文件。
斯堪尼亚是一家隶属于大众集团的重型卡车、客车,以及工业和船舶发动机制造商。上周末,威胁监控平台Hackmanac在黑客论坛上发现,一名自称"hensi"的攻击者公开兜售据称从"insurance.scania.com"窃取的数据,并声明这些信息仅面向单一买家独家交易。 斯堪尼亚证实,攻击者于5月28日利用被信息窃取恶意软件盗取的外部IT合作伙伴凭证入侵了其系统,获取了用于保险目的的系统访问权限。保险理赔文档可能包含个人和敏感的财务或医疗数据,因此这一事件可能对受影响者产生重大影响。
入侵后,攻击者使用@proton.me电子邮件地址直接联系斯堪尼亚员工进行勒索,随后在黑客论坛上发布了被盗数据样本。
08
LangSmith漏洞可通过恶意代理窃取OpenAI密钥和用户数据
网络安全研究人员近日披露了LangChain的LangSmith平台一个已修复的安全漏洞"AgentSmith",该漏洞可被利用捕获敏感数据,包括API密钥和用户输入内容。攻击者可利用窃取的OpenAI API密钥未经授权访问受害者的OpenAI环境,导致模型盗窃和系统提示泄露等严重后果,甚至消耗组织的API配额,增加账单成本。
LangSmith是一个用于开发、测试和监控大语言模型(LLM)应用的可观察性和评估平台,同时提供LangChain Hub作为公开提示、代理和模型的存储库。AgentSmith 攻击流程是:攻击者首先创建一个AI代理,并通过Proxy Provider功能将其配置为连接到攻击者控制的模型服务器,然后在LangChain Hub上分享该代理。
该漏洞于2024年10月29日报告,LangChain已于11月6日在后端修复,并在用户尝试克隆包含自定义代理配置的代理时实现了数据暴露警告提示。"
09
Hacklink黑产操控Google搜索排名:数千被劫持网站助攻SEO投毒攻击
英国支付处理商Paddle.com及其美国子公司将支付500万美
Netcraft 报告发现,一种基于黑产平台 Hacklink 的SEO投毒攻击正悄然在Google搜索结果中蔓延。攻击者通过劫持合法网站并植入不可见链接,将虚假内容提升至搜索排名前列,吸引用户访问钓鱼页面、欺诈服务和恶意软件投放站点。
攻击的关键词集中在博彩、医药和成人内容等高搜索量行业,搜索用户点击后往往会被引导至售卖假药、假服务、钓鱼网站或包含恶意软件下载的页面。更高级的攻击还通过修改锚文本,实现动态搜索结果操控,使用户看到的标题和描述随攻击者实时调整。这种攻击行为大多不需要获取网站完全控制权,仅依靠外链注入即可完成搜索引流。
数据显示,Paddle为PC Vark处理了1250万美元交易,尽管其拒付率超过7%;同时为Restoro和Reimage处理了超过3700万美元的交易。FTC指控Paddle内部通信表明公司知晓这些欺诈活动,并采用Ethoca和Verifi等工具在交易被正式报告前主动退款,掩盖真实欺诈率。
10
Veeam修复严重RCE漏洞,域用户可入侵备份服务器
Veeam于6月17日发布安全更新,修复了Veeam Backup & Replication (VBR)多个漏洞,其中包括一个由watchTowr和CodeWhite安全研究人员报告的严重远程代码执行(RCE)漏洞。
该漏洞仅影响加入域的VBR安装环境,但安全风险极高,因为任何经过身份验证的域用户都能通过低复杂度攻击在备份服务器上远程执行代码。受影响版本包括Veeam Backup & Replication 12及更高版本,用户应立即升级至修复版本12.3.2.3617。
作为全球领先备份解决方案提供商,Veeam产品被超过55万家客户使用,包括82%的财富500强公司。许多企业违背Veeam最佳实践,将备份服务器加入Windows域,而非按建议使用独立的Active Directory林并启用双因素认证,这大大增加了遭受攻击的风险。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):支付巨头Paddle因纵容技术支持骗局向FTC缴纳500万美元罚金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论