黑客利用 Aiohttp 漏洞寻找易受攻击的目标
发布时间 2024-03-183月16日,勒索软件攻击者“ShadowSyndicate”正在扫描易受 CVE-2024-23334(aiohttp Python 库中的目录遍历漏洞)影响的服务器。Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库,用于处理大量并发 HTTP 请求,而无需传统的基于线程的网络。2024 年 1 月 28 日,aiohttp 发布了 版本 3.9.2,解决了 CVE-2024-23334,这是一个严重的路径遍历漏洞,影响 3.9.1 及更早版本的所有 aiohttp 版本,允许未经身份验证的远程攻击者访问易受攻击的服务器上的文件。该缺陷是由于当静态路由的“follow_symlinks”设置为“True”时验证不充分,从而允许未经授权访问服务器静态根目录之外的文件。ShadowSyndicate 是一个机会主义、 经济动机的威胁行为者,自 2022 年 7 月以来一直活跃,与 Quantum、Nokoyawa、BlackCat/ALPHV、Clop、Royal、Cactus 和 Play 等勒索软件菌株有不同程度的信任。Group-IB 认为威胁行为者是与多个勒索软件运营机构合作的附属机构。
https://www.bleepingcomputer.com/news/security/hackers-exploit-aiohttp-bug-to-find-vulnerable-networks/
2. 法国 TRAVAIL 数据泄露影响 4300 万人
3月16日,法国网络犯罪预防计划进行的调查显示,威胁行为者在 2024 年 2 月 6 日至 3 月 5 日期间窃取了 4300 万人的个人信息。2023 年 8 月,法国政府就业机构 Pôle emploi遭遇数据泄露,并通知了受安全漏洞影响的 1000 万人。此次安全漏洞暴露了受影响个人的姓氏、名字和社会安全号码。电子邮件地址、电话号码、密码和财务数据不会被泄露。该机构建议求职者对任何潜在的欺诈活动保持警惕,该机构还补充说,该机构提供的补偿和支持以及访问 polo-emploi.fr的个人空间不存在任何风险。法国当局并未将这次攻击归咎于已知的勒索软件团伙,不过,Bleeping Computer 观察 到,安全公司Emsisoft 在其 MOVEit页面上列出了该法国政府机构 ,这意味着它很可能是Clop 勒索软件团伙 的受害者。
https://securityaffairs.com/160556/data-breach/france-travail-data-breach-34m-people.html
3. 黑客声称已经攻破 Viber并窃取了 740GB 数据
3月16日,Handala Hack 在 Telegram 帖子中声称他们窃取了超过 740GB 的数据,其中包括 Viber 的源代码。该组织要求为被盗信息支付 8 比特币(即 583,000 美元)的赎金。Viber 是一款消息应用程序,于 2010 年推出,并于 2014 年被日本跨国公司乐天公司以 9 亿美元收购,该应用程序已对黑客的指控做出了回应。该公司否认有任何入侵其系统或数据泄露的证据,但确认已启动调查以核实是否发生安全漏洞。如果得到证实,这可能是近代历史上最大的数据泄露事件之一。专家认为,这种泄露可能涉及个人消息、通话记录、联系方式和财务信息,可能会对 Viber 用户造成毁灭性打击。Handala Hack 是一个有争议的组织,以支持巴勒斯坦事业的以色列实体及其盟友为目标而闻名。自 2023 年 12 月建立 Telegram 频道并随后加入违规论坛以来,它一直很活跃。与此同时,Viber 用户应谨慎行事并更改密码,警惕网络钓鱼尝试,并通过检查 Viber 的官方渠道随时了解有关涉嫌数据泄露的任何更新。
https://www.hackread.com/hackers-claim-740gb-of-data-viber-messaging-app/
4. 黑客利用 GitHub 上的破解软件传播 RisePro
3月16日,网络安全研究人员发现许多 GitHub 存储库提供破解软件,这些软件用于传播名为 RisePro 的信息窃取程序。据 G DATA 称,该活动代号为gitgub ,包括与 11 个不同账户相关的 17 个存储库。此后,相关存储库已被微软旗下子公司删除。Github 上通常使用绿色和红色圆圈来显示自动构建的状态。Gitgub 威胁参与者在他们的 README.md 中添加了四个绿色 Unicode 圆圈,假装在当前日期旁边显示状态,并提供合法性和新近度的感觉。RAR 存档要求受害者提供存储库 README.md 文件中提到的密码,其中包含一个安装程序文件,该文件解压下一阶段的有效负载,这是一个膨胀到 699 MB 的可执行文件,旨在使分析工具崩溃,例如IDA 专业版。该文件的实际内容(总计仅为 3.43 MB)充当加载程序,将 RisePro(版本 1.6)注入 AppLaunch.exe 或 RegAsm.exe 中。RisePro 在 2022 年底突然成为人们关注的焦点,当时它使用名为 PrivateLoader 的按安装付费 (PPI) 恶意软件下载服务进行分发。
https://thehackernews.com/2024/03/hackers-using-cracked-software-on.html
5. 黑客通过武器化 PDF 诱骗用户安装恶意软件
3月16日,在一场复杂的网络攻击活动中,恶意行为者冒充哥伦比亚政府机构,针对拉丁美洲各地的个人进行攻击。攻击者分发包含 PDF 附件的电子邮件,错误地指控收件人违反交通规则或其他违法行为。这些欺骗性通信旨在强迫受害者下载包含 VBS 脚本的存档,从而启动多阶段感染过程。执行后,经过混淆的 VBS 脚本会触发 PowerShell 脚本,通过两步请求过程从合法在线存储服务中检索最终的恶意软件负载。根据 ANY.RUN 与 GBHackers 分享的安全报告;最初,脚本从 textbin.net 等资源获取有效负载的地址。然后,它继续从提供的地址下载并执行有效负载,该有效负载可以托管在各种平台上,包括 cdn.discordapp(.)com、pasteio(.)com、hidrive.ionos.com 和 wtools.io。攻击者的执行链遵循从 PDF 到 ZIP,然后到 VBS 和 PowerShell,最后到可执行文件 (EXE) 的顺序。最终的有效负载被识别为几种已知的远程访问木马 (RAT) 之一,特别是AsyncRAT、njRAT或Remcos。这些恶意程序因其能够对受感染系统提供未经授权的远程访问而臭名昭著,给受害者的隐私和数据安全带来重大风险。
https://gbhackers.com/hackers-trick-users-to-install-malware-via-weaponized-pdf/
6. TikTok被意大利监管机构罚款近1100万美元
3月16日,根据该国竞争管理局 (AGCM) 的一份新闻稿,意大利当局周四对 TikTok 处以 1090 万美元罚款,原因是其助长了可能损害用户“心理人身安全”的视频传播。这笔罚款是经过一年调查的结果,一天前美国众议院投票决定有效禁止该平台,国会议员要求该平台字节跳动撤资,否则将被禁止在美国运营。AGCM 特别关注该平台如何对未成年人和弱势群体产生负面影响,表示对该平台算法的调查部分是为了回应在该应用程序上疯传的所谓“法国疤痕”挑战。该挑战要求应用程序用户分享面部疤痕的视频,导致许多人皮肤受伤参与其中。此外,AGCM 表示,该平台的指导方针是不够的,并指出,这些指导方针的应用“没有充分考虑到青少年的具体脆弱性,其特点是特殊的认知机制。欧盟委员会上个月宣布,已启动调查,以确定 TiKTok 是否因未能验证用户年龄、保护用户隐私和防止用户沉迷该应用而违反了欧洲大陆的数字服务法 (DSA)。该调查的重点还在于该平台是否通过不透明的广告行为以及未能保护未成年人而违反了 DSA。
https://therecord.media/tiktok-italy-fine-regulator
京公网安备11010802024551号