西雅图港和西雅图-塔科马国际机场疑遭网络攻击
发布时间 2024-08-268月25日,西雅图港与西雅图-塔科马国际机场同时运营,近期遭遇了严重的信息系统挑战,疑似遭遇了网络攻击。周六清晨,港口首先通过社交媒体平台通报了服务中断的情况,随后机场官方确认遭遇了系统中断,并暗示这可能源于一次网络攻击。随着事态发展至周六晚间,机场方面表示服务中断状况依旧未解,且无法明确给出恢复全面服务的时间表。面对这一突发状况,机场方面积极应对,建议旅客利用航空公司提供的手机应用程序办理登机手续并打印登机牌及行李标签,同时提醒乘客提前抵达机场以应对可能的延误。据TechCrunch的技术分析,截至周日太平洋时间早晨,西雅图港对外服务的网络基础设施,尤其是其官方网站,仍处于不可访问的离线状态,显示出此次网络攻击对港口及机场运营造成了显著影响。
https://techcrunch.com/2024/08/25/the-port-of-seattle-and-sea-tac-airport-say-theyve-been-hit-by-possible-cyberattack/
2. PEAKLIGHT 恶意软件:一种新型隐秘内存威胁出现
8月24日,Mandiant的网络安全团队揭露了一种名为PEAKLIGHT的复杂新型恶意软件,它通过一系列精心设计的多阶段感染过程,悄无声息地在受害者的系统中传播包括LUMMAC.V2、SHADOWLADDER和CRYPTBOT在内的多种信息窃取程序。PEAKLIGHT的入侵始于伪装成盗版电影的恶意ZIP文件,内含伪装成媒体图标的LNK快捷方式文件,诱导用户执行嵌入的PowerShell脚本,进而下载并执行内存中的JavaScript植入程序。该植入程序利用内容分发网络(CDN)托管,并采用混淆技术规避检测,最终下载并执行PEAKLIGHT下载程序,该程序根据系统情况下载额外的恶意负载。PEAKLIGHT变种多样,但核心目标一致:隐蔽地部署信息窃取工具。分析显示,PEAKLIGHT下载的ZIP文件包含SHADOWLADDER和CRYPTBOT等恶意软件,同时利用合法视频文件作为诱饵。Mandiant强调,此类攻击凸显了保持警惕、采取多层次安全措施的重要性,包括软件更新、强密码和多因素认证,以及部署有效的端点保护。
https://securityonline.info/peaklight-malware-a-new-stealthy-memory-only-threat-emerges/
3. CISA警告Versa Networks漏洞CVE-2024-39717正被积极利用
8月23日,美国网络安全和基础设施安全局(CISA)近期紧急发布了关于CVE-2024-39717漏洞的安全警报,指出该高严重性漏洞正被积极利用,对使用Versa Networks Director GUI的系统构成重大威胁。此漏洞允许具有高级管理权限的用户通过上传伪装为.png图片的恶意文件,进而可能获取未授权访问权限或执行任意代码。这一漏洞的严重性在于,它已确认被野外攻击者利用,部分原因是客户未遵循之前发布的防火墙指南。尽管该恶意文件在多数主流浏览器上无法直接执行,但潜在的利用实例及未证实的报告仍表明风险持续存在。CISA已将CVE-2024-39717纳入已知被利用漏洞目录,并敦促联邦机构在2024年9月13日前部署最新安全补丁,以防范潜在的网络攻击。因此,所有使用Versa Networks Director GUI的组织应迅速审查并加强其安全协议,同时立即应用所有可用的安全补丁和更新,以确保网络安全免受此漏洞的侵害。
https://securityonline.info/cve-2024-39717-versa-networks-director-gui-flaw-under-active-attack-cisa-issues-urgent-patching-directive/
4. 新的macOS恶意软件Cthulhu Stealer瞄准Apple用户数据
8月23日,网络安全研究人员发现了一种针对Apple macOS的新型信息窃取程序Cthulhu Stealer,该恶意软件自2023年底起以每月500美元的MaaS(恶意软件即服务)模式提供,可跨x86_64与Arm架构运行。Cthulhu Stealer伪装成合法软件如CleanMyMac等,利用用户信任绕过Gatekeeper保护,诱导用户输入密码,进一步窃取MetaMask密码、iCloud Keychain及浏览器cookie等敏感数据。它还利用Chainbreaker等工具收集系统信息,并将数据压缩后发送至C2服务器。尽管Cthulhu Stealer在技术上并不复杂,缺乏高级反分析手段,但它展示了威胁行为者日益关注macOS的趋势。值得注意的是,该恶意软件背后的开发者因内部纠纷已退出市场,但这并不排除未来类似威胁的再现。面对这一风险,苹果公司已采取措施,计划在macOS Sequoia中增强对未签名或未公证软件的限制,用户需通过系统设置而非简单操作来允许软件运行,以提高系统安全性。同时,专家建议macOS用户仅从可信来源下载软件,保持系统更新至最新版本。
https://thehackernews.com/2024/08/new-macos-malware-cthulhu-stealer.html?&web_view=true
5. Qilin勒索软件新动向:窃取Chrome凭证
8月23日,网络安全领域出现了一起引人注目的Qilin勒索软件攻击事件。据Sophos网络安全公司报告,此次攻击不仅限于传统的文件加密与勒索,还罕见地结合了凭证收集手段,对受害者的Google Chrome浏览器中的敏感信息构成威胁。攻击者利用VPN门户泄露的、缺乏多因素认证的凭据,成功渗透目标网络,并在首次入侵后潜伏18天进行深度后利用。攻击者巧妙地编辑了域控制器中的默认域策略,引入了两个关键脚本:一是用于搜集Chrome浏览器存储凭证的PowerShell脚本“IPScanner.ps1”,二是触发该脚本执行的批处理文件“logon.bat”。这些脚本通过登录时的组策略对象(GPO)自动执行,使得每次用户登录时都可能在不知情的情况下触发凭证窃取,持续三天之久,极大地增加了信息泄露的风险。随后,攻击者不仅加密了文件、放置勒索信,还窃取了收集到的凭证,并清除活动痕迹。Chrome凭证的失窃迫使受害者需在多个第三方服务上重置账户密码,进一步加剧了事件的复杂性和影响范围。
https://thehackernews.com/2024/08/new-qilin-ransomware-attack-uses-vpn.html
6. Android恶意软件NGate利用NFC技术用于ATM取款
8月23日,在过去九个月中,斯洛伐克网络安全公司ESET揭露了一起针对捷克三家银行的重大网络犯罪活动。犯罪分子利用名为NGate的恶意软件,通过精心设计的钓鱼邮件诱骗Android设备用户下载伪装成银行应用的恶意程序。这款软件不仅能窃取用户的银行信息,还采用了一种前所未有的NFC中继技术,能从受害者的实体支付卡中远程传输近场通信数据至攻击者设备,进而执行ATM交易或转移资金。此恶意软件从未上架Google Play商店,主要通过钓鱼邮件中的非官方链接传播。受害者被诱导开启NFC功能并放置支付卡于手机背部,以完成卡信息的非法获取。ESET自2023年11月起追踪该组织,发现其活动在一名成员被捕后短暂停滞,但此类Android恶意软件的新功能仍属首次在野外被发现。专家警告公众需提高警惕,检查网站URL、妥善保管PIN码,并在非必要时关闭NFC功能,推荐使用虚拟卡以减少风险。
https://therecord.media/android-malware-atm-stealing-czech-banks
京公网安备11010802024551号