新的Linux恶意软件sedexp使用Udev规则隐藏信用卡盗刷器
发布时间 2024-08-271. 新的Linux恶意软件sedexp使用Udev规则隐藏信用卡盗刷器
8月25日,网络安全研究人员发现了一种名为sedexp的新型Linux恶意软件,它由寻求经济利益的威胁行为者设计,采用了一种独特的策略以实现长期潜伏和隐秘攻击。自2022年起,该高级威胁便隐匿于网络空间,为攻击者提供了反向shell通道和卓越的隐蔽手段。其核心特色在于利用udev规则来维持其在系统内的持久性,这是通过监测系统核心资源如/dev/random的加载来实现,每当系统重启时即自动激活恶意程序。sedexp通过udev的复杂配置,能够在不被察觉的情况下执行恶意操作,并巧妙地修改系统内存,隐藏含有其标识“sedexp”的文件,有效规避了常规检测工具如ls和find的侦查。更为狡猾的是,它已被观察到用于在服务器上隐秘部署信用卡数据窃取代码,凸显了其明确的经济利益导向。Stroz Friedberg事件响应团队指出,在已调查案例中,sedexp不仅隐藏了Web Shell和修改过的Apache配置文件,还自行修改了udev规则,形成了一个闭环的隐蔽系统。这一发现揭示了除勒索软件外,以经济为目的的网络攻击手段正日益复杂化。
https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html
2. 流行Python库Pandas曝安全漏洞CVE-2024-42992
8月25日,广泛使用的 Python 库pandas中发现了一个安全漏洞CVE-2024-42992,该漏洞波及所有版本直至最新的2.2.2,其CVSS评分高达7.5,凸显了用户面临的重大风险。鉴于pandas下载量已超5400万次,成为数据处理与分析的核心工具,这一发现尤为令人担忧。此漏洞为任意文件读取漏洞,能让攻击者无限制地访问系统内的任意文件,包括敏感如Unix系统用户账户信息的“/etc/passwd”文件。其根源在于pandas在处理文件路径输入时缺乏必要的限制,使得恶意用户能指定任意路径以窃取敏感数据。该漏洞在多个在线环境中易于复现,且其概念验证代码已在GitHub上公开,显著增加了被恶意利用的风险。鉴于pandas的广泛应用,此漏洞对系统机密性和完整性构成了严重威胁,数据泄露和敏感信息未经授权访问的风险骤增。面对尚无官方补丁的现状,用户需立即采取预防措施,如限制在敏感环境中使用pandas,并加强系统监控与安全措施,以检测和防御潜在攻击。
https://securityonline.info/critical-flaw-discovered-in-popular-python-library-pandas-no-patch-available-for-cve-2024-42992/
3. Cheana Stealer发起跨平台VPN钓鱼攻击,窃取用户敏感数据
8月25日,Cyble 研究与情报实验室 ( CRIL ) 发现的最新威胁Cheana Stealer,该恶意工具通过伪装成知名VPN服务WarpVPN的网络钓鱼手段,跨平台攻击Windows、Linux及macOS用户。Cheana Stealer利用精心设计的钓鱼网站诱骗用户下载并安装伪装成合法VPN软件的窃取程序,一旦得手,便悄无声息地收集包括浏览器密码、加密货币钱包、SSH密钥等敏感数据。针对不同操作系统,Cheana Stealer采用不同的技术手段:在Windows上,它利用PowerShell执行恶意脚本;Linux版则通过伪装Cloudflare Warp VPN的shell脚本实施攻击;macOS上则利用虚假系统提示窃取Keychain及加密货币钱包信息。值得注意的是,该窃取程序的传播与一个拥有数万订阅者的Telegram频道紧密相关,频道内频繁宣传假冒VPN服务,极大助长了攻击范围。CRIL的研究揭示,攻击者初期提供合法服务以积累信任,随后转向恶意活动,通过Telegram等信誉平台及高度仿真的钓鱼网站,成功入侵了多个操作系统平台的大量用户系统,凸显了当前网络安全挑战的严峻性。
https://securityonline.info/cheana-stealer-targets-vpn-users-across-windows-linux-and-macos-in-sophisticated-phishing-campaign/
4. Mirai僵尸网络中发现严重漏洞CVE-2024-45163
8月25日,安全研究员Jacob Masse揭示了Mirai僵尸网络中的一个严重漏洞CVE-2024-45163(CVSS评分为9.1),该漏洞允许对僵尸网络的CNC服务器进行远程DoS攻击,严重威胁到Mirai僵尸网络的运行。Mirai作为一种臭名昭著的恶意软件,自2016年起便侵扰物联网和服务器领域,通过利用弱密码等漏洞控制大量设备,形成庞大的僵尸网络,执行DDoS攻击等恶意活动。Jacob Masse通过深入研究CNC服务器的运作机制,发现了其在处理并发连接请求时的缺陷,特别是在预认证阶段。这一漏洞允许攻击者通过发送大量简单的身份验证请求,使CNC服务器资源耗尽并崩溃,从而瘫痪整个僵尸网络。CVE-2024-45163的披露不仅为执法机构提供了瓦解Mirai僵尸网络的有力工具,也引发了关于道德使用的讨论,因为利用此漏洞可能意外中断合法测试中的僵尸网络。Masse通过PoC演示了漏洞的有效性,展示了在有限资源下即可成功关闭CNC服务器的场景。此外,他还公开了漏洞代码,促进了网络安全社区的研究与防御工作。
https://securityonline.info/hacking-the-hacker-researcher-found-critical-flaw-cve-2024-45163-in-mirai-botnet/
5. Magento平台遭网络攻击,盗刷程序窃取支付数据
8月25日,众多采用Magento平台的在线商店近期遭遇了严重网络攻击,其支付页面被植入恶意代码,导致客户支付卡数据被非法窃取,包括卡号、有效期及安全码等重要信息。Malwarebytes专家指出,黑客利用Magento系统漏洞,在支付流程中插入一行脚本,该脚本能远程加载并执行数据窃取操作。数百家店铺已确认受侵,黑客通过自建网站收集被盗数据。此类数字盗刷器极其隐蔽,能够无缝融入正规支付流程,难以被用户察觉。它们在用户输入支付信息时即时捕获并转发至黑客服务器,甚至在某些情况下,能够绕过第三方支付处理流程直接拦截数据。幸运的是,安全专家已拦截超过1,100次数据窃取尝试,通过识别并封锁数十个恶意域名有效遏制了部分攻击。然而,受影响的店铺虽已采取删除恶意代码或暂停运营等措施,但部分网站仍面临持续威胁。此外,数据泄露不仅限于财务信息,还涉及用户的电子邮件、住址及电话号码等个人隐私。因此,用户若发现异常,应立即联系银行更换卡片,并考虑启用身份保护服务。
https://securityonline.info/cyberattack-on-magento-hackers-inject-skimmer-card-data-stolen/
6. Patelco遭RansomHub勒索软件攻击,72.6万客户数据泄露
8月26日,Patelco信用合作社是一家资产超90亿美元的美国非营利性金融服务机构,近期遭遇严重数据泄露事件。今年早些时候,该社受到RansomHub勒索软件攻击,尽管当时未立即确认数据泄露,但随后调查揭示,攻击者于5月23日潜入网络,并于6月29日访问数据库,窃取了大量客户个人信息。这些敏感信息包括姓名、社会安全号码、驾驶执照号码、出生日期及电子邮件等,与RansomHub团伙在8月15日于其勒索网站上公布的数据一致,该团伙声称在谈判未果后公开了数据。此次事件波及Patelco的726,000名客户。为应对此次危机,Patelco已向受影响的客户发送数据泄露通知,并提供通过Experian注册两年免费身份保护和信用监控服务的选项,截止日期为11月19日。同时,该社在其网站显著位置发布警告,提醒会员警惕网络钓鱼、社会工程及诈骗风险,强调官方绝不会直接索取卡详情等敏感信息。
https://www.bleepingcomputer.com/news/security/patelco-notifies-726-000-customers-of-ransomware-data-breach/
京公网安备11010802024551号