Quad7僵尸网络瞄准SOHO设备,通信策略更隐秘
发布时间 2024-09-109月9日,Quad7 僵尸网络近期通过定制恶意软件攻击更多SOHO设备,尤其是Zyxel VPN、Ruckus 无线路由器和Axentra媒体服务器,显示出其不断进化的运营策略。该网络不仅针对TP-Link和华硕路由器,还扩展到新的目标,利用不同登录变体如“xlogin”、“alogin”、“rlogin”和“zylogin”,通过特定端口控制设备。尽管某些新集群如“rlogin”和“zylogin”感染案例相对较少,但潜在威胁不容小觑,可能携带针对更广泛设备的新漏洞。Quad7 的演变还包括技术上的革新,如放弃传统的SOCKS代理,转而采用KCP协议和“FsyNet”工具进行UDP通信,以及使用“UPDTAE”后门和HTTP反向shell进行更隐蔽的控制,这些都极大地增加了检测难度。此外,实验中的“netd”二进制文件与CJD route2协议的结合,预示着可能开发出更为隐秘的通信机制。面对这一持续演变的威胁,用户应采取积极防御措施,包括安装最新固件更新、更改默认管理密码、禁用不必要的Web管理功能,并在可能的情况下升级至支持长期安全更新的设备型号。
https://www.bleepingcomputer.com/news/security/quad7-botnet-targets-more-soho-and-vpn-routers-media-servers/
2. Highline公立学校因网络攻击关闭全学区,学生开学受阻
9月9日,华盛顿州Highline公立学校学区,服务布里恩、得梅因、诺曼底公园、西塔科和白中心社区的34所学校及17,500名学生,近日遭遇网络攻击,导致学区技术系统出现未授权活动。为确保学生安全,学区紧急关闭了所有学校并取消了原定于9月9日的所有活动,包括体育和会议,尽管学区中央办公室仍正常运作。学区迅速行动,隔离关键系统,并与第三方及州、联邦合作伙伴紧密合作,以安全恢复和测试系统。此次突发状况尤其对学生家庭造成不便,特别是正值幼儿园开学前夕,学区对此深表歉意,并强调学生安全是首要考量。目前,调查工作正在进行中,尚未明确网络攻击的具体性质及是否有师生个人信息泄露。Highline学区计划于周一下午前向教职员工和家长通报后续安排。
https://www.bleepingcomputer.com/news/security/highline-public-schools-closes-schools-following-cyberattack/
3. Predator 间谍软件行动以新的基础设施卷土重来
9月9日,在美国对Intellexa联盟实施制裁后,研究人员发出预警,指出Predator间谍软件可能通过新基础设施卷土重来。此前,美国财政部因Intellexa在开发和分发针对美国人的商业间谍软件中的作用,对其相关个人和实体进行了制裁。Predator以其广泛的数据窃取和监视功能著称,曾被用于监视政府官员、记者及政策专家。制裁后,该间谍软件活动一度减少,但现已在新基础设施上重新活跃,尤其是在刚果民主共和国和安哥拉等国家持续被使用。Recorded Future指出,Predator的复苏可能与其改进的基础设施、增强的匿名操作和逃避检测能力有关,使得追踪变得更为困难。尽管攻击链未变,仍依赖“一键”和“零点击”漏洞,但Predator对知名人士如政客、高管、记者和活动家的威胁依旧重大。其高昂的许可费表明,该软件被用于针对战略性、高价值目标。这一趋势引发了欧盟等地区对雇佣间谍软件滥用的担忧,尤其是在政治反对派和记者中的使用,已引发对监视合法性和道德性的质疑。随着监控市场的不断增长,政府和网络安全专家需保持高度警惕,以应对复杂恶意软件和监控工具带来的挑战。
https://securityaffairs.com/168222/intelligence/predator-spyware-new-infrastructure.html
4. Slim CD遭黑客入侵,近170万用户信用卡及个人数据泄露
9月9日,Slim CD作为为零售、酒店及餐饮等行业提供支付解决方案的服务商,近日公开了一起重大数据泄露事件,该事件波及近170万用户,其信用卡及个人敏感信息遭到泄露。黑客在长达近一年的时间里(2023年8月至2024年6月),悄无声息地侵入了Slim CD的系统。该公司于今年6月15日首次察觉异常活动,并追溯发现黑客入侵始于2023年8月17日。尽管入侵时间长,但Slim CD指出,信用卡信息的查看或窃取主要集中在6月14日至15日这两天。泄露的信息包括用户的姓名、地址、信用卡号码及有效期,尽管未包含关键的卡验证号(CVV),但仍增加了信用卡欺诈的风险。Slim CD已加强其安全体系以防范未来类似事件,并建议受影响用户提高警惕,留意欺诈迹象,并立即向银行报告任何可疑活动。值得注意的是,受影响的用户并未获得免费身份盗窃保护服务。
https://www.bleepingcomputer.com/news/security/payment-gateway-data-breach-affects-17-million-credit-card-owners/
5. RAMBO攻击利用内存总线无线电信号从隔离系统窃取数据
9月9日,研究人员Mordechai Guri开发出了一种名为RAMBO的新型攻击技术,该技术利用内存总线产生的无线电信号,成功地从物理和逻辑双重隔离的系统中远程窃取数据。该技术允许攻击者以每秒1,000比特的速度,在最远7米距离内盗取包括加密密钥、图像、按键和生物特征信息等在内的敏感数据。通过软件定义无线电(SDR)硬件和天线,恶意软件能够在隔离系统中编码数据,并将这些编码后的数据以电磁波的形式辐射出去,进而被远处的接收设备捕获并解码。RAMBO攻击的核心在于操纵RAM的访问模式,生成与二进制数据相对应的电磁信号,形成隐蔽通道。这种攻击方式突破了传统隔离系统的安全防线,因为即便系统被物理隔离,也无法抵御来自内部恶意软件的威胁。恶意软件可通过多种途径(如感染USB驱动器、内部人员恶意操作或供应链攻击)被植入隔离系统。Mordechai Guri进一步揭示了数据通过RAM传输时产生的电磁辐射是泄露的关键,这些辐射的频率与数据宽度、时钟速度及系统架构紧密相关。通过精确控制内存访问指令,攻击者能够建立电磁隐蔽通道,实现数据的远程传输。针对RAMBO攻击,研究人员也提出了相应的防御策略和保护措施。
https://www.securityweek.com/new-rambo-attack-allows-air-gapped-data-theft-via-ram-radio-signals/
6. 朝鲜黑客利用LinkedIn诱骗部署COVERTCATCH恶意软件
9月7日,朝鲜威胁行为者通过LinkedIn平台对Web3领域的开发人员实施了一系列精心策划的虚假招聘攻击,利用社会工程学手段诱骗目标下载并执行恶意软件。谷歌子公司Mandiant在其最新报告中揭示了这些攻击的细节,指出攻击者常以编码测试为幌子,通过发送包含COVERTCATCH恶意软件的ZIP文件作为初始感染手段。该恶意软件旨在感染macOS系统,并通过下载第二阶段有效负载建立持久性控制。此类活动属于朝鲜黑客组织广泛活动的一部分,如“梦想工作行动”等,它们利用工作诱饵传播RustBucket、KANDYKORN等恶意软件。尤为值得关注的是,朝鲜黑客不仅限于社会工程学攻击,还涉足软件供应链攻击,如针对3CX和JumpCloud的先例所示。一旦通过恶意软件获得立足点,攻击者会进一步窃取密码、进行内部侦察,并渗透云环境以盗取加密货币资金。FBI也发出警告,指出朝鲜威胁行为者正利用高度定制化的社会工程活动,特别是针对加密货币行业,通过伪造个性化招聘或投资机会,企图为受制裁的朝鲜获取非法收入。这些攻击前常伴随详尽的受害者背景调查,以增强信任感,提高攻击成功率。FBI强调,犯罪分子会利用受害者的个人信息或鲜为人知的细节来建立联系,进而传播恶意软件,实现其非法目的。
https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html
京公网安备11010802024551号