首页 > 安全研究 > 安全通报 > 安全简讯

LockBit 勒索软件团伙因国际执法行动而瓦解

发布时间 2024-02-21
1. LockBit 勒索软件团伙因国际执法行动而瓦解


2月20日,来自 11 个国家的执法机构开展的代号为“克罗诺斯行动”的联合执法行动,涉及LockBit勒索团伙,其网站已经被控制。自 2019 年底出现以来,该组织的规模远远超过其他勒索软件团伙,Recorded Future 的研究人员将近 2,300 起攻击归因于该组织。Conti 是第二活跃的组织,仅公开与 883 起攻击有关。自 2020 年 1 月以来,利用 LockBit 的附属机构已将目标锁定在金融服务、食品和农业、教育、能源等关键基础设施领域的各种规模的组织。政府和紧急服务、医疗保健、制造和运输。


https://therecord.media/lockbit-ransomware-disrupted-international-operation


2.Cactus 勒索软件声称窃取 1.5TB 施耐德电气数据


2月19日,Cactus 勒索软件团伙声称,他们上个月入侵施耐德电气网络后窃取了 1.5TB 的数据。并在暗网泄露网站上还泄露了 25MB 的据称被盗数据,作为威胁行为者声称的证据,此外还有显示几名美国公民护照和保密协议文件扫描的快照。该团伙目前正在勒索该公司,并威胁称,如果不支付赎金,就会泄露所有据称被盗的数据。目前尚不清楚具体的数据被盗,但施耐德电气的可持续发展业务部门为全球许多知名公司提供可再生能源和监管合规咨询服务,包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛。鉴于此,从其目标系统中窃取的数据可能包括有关客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。


https://www.bleepingcomputer.com/news/security/cactus-ransomware-claim-to-steal-15tb-of-schneider-electric-data/


3.Wyze 摄像头故障导致超过 13000 用户受影响


2月19日,Wyze 分享了影响数千名用户的安全事件的更多细节,该公司将其归咎于最近添加到其系统中的第三方缓存客户端库,该库在处理周五大范围停电后同时上线的大量摄像机时出现问题。“这次中断是由我们的合作伙伴 AWS 造成的,周五凌晨 Wyze 设备停机了几个小时。如果您在这段时间内尝试查看实时摄像头或活动,您可能无法观看。对于给您带来的挫败感和困惑,我们深表歉意这导致了”该公司在发送给受影响用户的电子邮件中表示。Wyze 表示,出现这种情况是因为需求突然增加,导致设备 ID 和用户 ID 映射混合,导致某些数据与不正确的用户帐户错误连接。因此,客户可以在点击 Wyze 应用程序的“事件”选项卡中的相机缩略图后看到其他人的视频源缩略图,在某些情况下甚至可以看到视频片段。


https://www.bleepingcomputer.com/news/security/wyze-camera-glitch-gave-13-000-users-a-peek-into-other-homes/


4.Linux 内核缺陷 (CVE-2024-0646) 使系统面临权限提升


2月19日,Linux 内核传输层安全性 (kTLS) 中的漏洞(CVE-2024-0646)可能被本地用户利用来获取提升的系统权限或中断系统操作。幸运的是,现在已经提供了针对此漏洞的补丁。kTLS 将基本的 TLS 加密和身份验证功能直接引入 Linux 内核。这简化了基本互联网协议的安全通信,例如 HTTPS(安全网页浏览)、电子邮件和其他互联网连接应用程序。该漏洞的本质在于调用splice() 时内存处理不当。KTLS 代码无法正确更新明文分散收集缓冲区 ( struct sk_msg_sg ) 的内部记帐 ( curr/copybreak ) ,从而导致越界内存写入缺陷。内存管理中的这种失误可能会允许后续对套接字的写入覆盖拼接页面的内容,从而危险地包括调用者不应具有写访问权限的文件中的页面。攻击者可能会利用此漏洞以非预期的系统权限导致代码意外执行。


https://securityonline.info/linux-kernel-flaw-cve-2024-0646-exposes-systems-to-privilege-escalation/


5.Android 银行木马 Anatsa 卷土重来新增斯洛伐克、斯洛文尼亚和捷克


2月19日,ThreatFabric 的研究人员观察到Anatsa银行木马(又名 TeaBot 和 Toddler)卷土重来。11 月至 2 月期间,专家们观察到了五波不同的攻击,每一波都集中在不同的地区。该恶意软件此前主要针对英国、德国和西班牙进行活动,但最新的活动针对的是斯洛伐克、斯洛文尼亚和捷克,这表明其运营策略发生了转变。研究人员将 Anatsa 的活动归类为“有针对性”,观察到威胁行为者一次集中于 3-5 个区域。据 ThreatFabric 称,投放器应用程序已上传到目标区域的 Google Play 上。攻击者注意到这些应用程序经常进入“热门新免费”类别中的前三名,试图欺骗用户相信该应用程序是合法的并有大量用户下载。


https://securityaffairs.com/159344/malware/anatsa-banking-trojan-resurgence.html


6.超过 28500 台 Exchange 服务器易受主动利用的漏洞攻击


2月19日,Microsoft Exchange 服务器可能容易受到黑客正在积极利用的严重性权限升级漏洞(跟踪为 CVE-2024-21410)的影响。微软于 2 月 13 日解决了该问题,当时该问题已被用作零日漏洞。目前,已有 28500 台服务器被确定存在漏洞。Exchange Server 广泛应用于商业环境中,以促进用户之间的通信和协作,提供电子邮件、日历、联系人管理和任务管理服务。该安全问题允许未经身份验证的远程攻击者对 Microsoft Exchange Server 执行 NTLM 中继攻击并提升其在系统上的权限。目前,CVE-2024-21410 还没有公开的概念验证 (PoC) 漏洞,这在一定程度上限制了利用该缺陷进行攻击的攻击者数量。


https://www.bleepingcomputer.com/news/security/over-28-500-exchange-servers-vulnerable-to-actively-exploited-bug/

上一篇 下一篇