RedTail挖矿利用 Palo Alto Networks 防火墙的漏洞
发布时间 2024-06-035月31日,RedTail加密货币挖掘恶意软件背后的威胁行为者将最近披露的影响 Palo Alto Networks 防火墙的安全漏洞添加到其漏洞利用库中。根据网络基础设施和安全公司 Akamai 的研究结果,该恶意软件不仅在其工具包中增加了 PAN-OS 漏洞,还对其进行了更新,目前已采用了新的反分析技术。Akamai 发现的感染序列利用了 PAN-OS 中现已修补的漏洞CVE-2024-3400(CVSS 评分:10.0),该漏洞可能允许未经身份验证的攻击者在防火墙上以 root 权限执行任意代码。成功利用之后,将执行旨在从外部域检索和运行 bash shell 脚本的命令,该脚本反过来负责根据 CPU 架构下载 RedTail 有效负载。RedTail 的其他传播机制涉及利用 TP-Link 路由器(CVE-2023-1389)、ThinkPHP(CVE-2018-20062)、Ivanti Connect Secure(CVE-2023-46805 和 CVE-2024-21887)以及 VMWare Workspace ONE Access 和 Identity Manager(CVE-2022-22954)中已知的安全漏洞。RedTail于 2024 年 1 月首次由安全研究员 Patryk Machowiak 记录,涉及利用 Log4Shell 漏洞 (CVE-2021-44228) 在基于 Unix 的系统上部署恶意软件的活动。
https://thehackernews.com/2024/05/redtail-crypto-mining-malware.html
2. Cooler Master 确认数据泄露事件中客户信息被盗
5月31日,计算机硬件制造商 Cooler Master 确认其于 5 月 19 日遭遇数据泄露,威胁行为者窃取了客户数据。Cooler Master 是一家知名的计算机硬件制造商,以其冷却设备、计算机机箱、电源和其他外围设备而闻名。BleepingComputer昨天报道称,一个名为“Ghostr”的威胁行为者告诉我们,他们于 5 月 18 日入侵了该公司的 Fanzone 网站并下载了其链接的数据库。Cooler Master 的 Fanzone 网站用于注册产品保修、申请 RMA 或开立支持票,要求客户填写个人数据,例如姓名、电子邮件地址、地址、电话号码、出生日期和实际地址。Ghostr 表示,在 Fanzone 漏洞发生期间,他们下载了 103 GB 的数据,其中包括超过 500,000 名客户的客户信息。威胁行为者还共享了数据样本,使 BleepingComputer 能够与违规行为中列出的众多客户确认他们的数据是准确的,并且他们最近向 Cooler Master 请求了支持或 RMA。样本中的其他数据包括产品信息、员工信息以及与供应商的电子邮件信息。威胁者声称拥有部分信用卡信息,但 BleepingComputer 在数据样本中找不到这些数据。
https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/
3. BBC 披露了影响其养老金计划成员的数据泄露事件
6月1日,BBC 的信息安全团队已向我们通报了一起数据安全事件,其中部分包含 BBC 养老金计划成员个人信息的文件被从云存储服务中复制。这些文件包括一些养老金计划成员的个人信息,包括姓名、国民保险号、出生日期和家庭住址等详细信息。”公告写道。“所涉及的数据文件是副本,因此对计划的正常运作没有影响。该事件未影响养老金计划门户网站的运行,用户可以继续使用。该事件泄露了约 25,000 名 BBC 养老金计划成员的个人信息,其中包括现任和前任员工。泄露的数据包括全名、国民保险号、出生日期、性别和家庭住址。这家英国公共服务广播公司在外部专家的帮助下调查了这一事件,并已采取了额外的安全措施。专家们已经确定了安全漏洞的原因并采取了安全措施。该公司正在通过电子邮件或邮寄方式联系所有受影响的会员。目前,该公司没有证据表明受损文件已被滥用。
https://securityaffairs.com/163908/data-breach/bbc-disclosed-data-breach.html
4. FlyingYeti利用WinRAR漏洞进行有针对性的攻击活动
6月2日,自 2022 年 2 月 24 日俄罗斯入侵乌克兰以来,各国之间以及全世界之间的紧张局势一直很严重。此次事件后,乌克兰对未偿债务的住户实施了驱逐和终止公用事业服务的禁令,该禁令将于2024年1月结束。然而,这一特定时期却被一名名为FlyingYeti的威胁行为者所利用。该威胁行为者利用乌克兰公民对未偿还债务和可能失去住房的焦虑,开展了以债务为主题的网络钓鱼活动,诱骗受害者将恶意软件文件下载到他们的系统中。该恶意软件是一种称为“COOKBOX”的 PowerShell 恶意软件,它使这些威胁行为者能够安装额外的有效载荷并控制受害者的系统。此外,网络钓鱼活动还利用了 GitHub 服务器和 Cloudflare 工作器以及 WinRAR 漏洞(CVE-2023-38831)。lyingYeti 威胁行为者的活动与之前确定的威胁行为者 UAC-0149 有重叠,后者曾在 2023 年秋季使用相同的恶意软件攻击乌克兰国防实体。2024 年 4 月中旬至 5 月中旬期间,据观察,FlyingYeti 威胁行为者正在对受害者进行侦察活动,这些活动很可能用于原定于复活节期间发起的活动。
https://gbhackers.com/flyingyeti-winrar-vulnerability-malware-attacks/
5. LilacSquid 黑客攻击 IT 行业以获取机密数据
6月1日,黑客瞄准 IT 行业,因为这些行业掌握着宝贵的数据、关键的基础设施,并且通常可以访问各个领域的敏感信息。入侵 IT 公司可以为黑客提供进行间谍活动、获取经济利益以及破坏基本服务的巨大机会。近日,思科Talos网络安全研究人员发现,LilacSquid黑客一直在积极攻击IT行业,以获取机密数据。Talos 确信“LilacSquid” APT 组织至少从 2021 年开始就一直在进行数据窃取活动,成功入侵了亚洲、欧洲和美国的制药、石油、天然气和技术行业的目标 初始访问利用了漏洞和被盗的 RDP 凭据。入侵后,LilacSquid 部署了 MeshAgent 远程访问工具、QuasarRAT 的定制“PurpleInk”变体以及 SSF 等开源代理工具,与 Lazarus 和 Andariel 等朝鲜组织的 TTP 重叠。该活动建立了数据泄露的长期访问权限,先前的供应链漏洞凸显了这种持续、高级威胁的风险。入侵后,他们使用 MeshAgent 等程序进行远程访问、使用 SSF 进行安全隧道以及使用定制恶意软件 InkLoader、PurpleInk RAT 等。
https://gbhackers.com/lilacsquid-hackers-attacking-it-industries/
6. 数百名英国、法国和欧盟政客的信息在网上公布
5月31日,据专注于隐私的解决方案提供商 Proton 称,数百名英国、法国和欧洲议会政客的电子邮件地址和其他信息可以在暗网市场上找到。作为 Proton 与 Constella Intelligence 合作开展的一项研究的一部分,研究人员在暗网上搜索了近 2,300 个属于英国、法国和欧洲议会议员的官方政府电子邮件地址。总共有 918 个电子邮件地址被泄露到网络犯罪市场,但每个组织受影响的政客比例有所不同。例如,英国议员受到的影响最大,68% 的目标电子邮件地址出现在暗网上。就欧盟议会议员而言,44% 的电子邮件地址被发布在黑客论坛上。只有 18% 的法国议员和参议员的数据被泄露。就英国政客的案例而言,其中包括政府高层和反对派人物,他们的电子邮件地址在暗网上被发现超过 2,100 次。在许多情况下,电子邮件地址在政府网站上是公开的。问题在于,电子邮件地址出现在暗网市场上表明这些地址曾被用来在各种第三方在线服务上建立账户,而这些服务在某个时候遭到了黑客攻击。
https://www.securityweek.com/information-of-hundreds-of-european-politicians-found-on-dark-web/
京公网安备11010802024551号