国际网络犯罪集团成员将 Airbnb 变成诈骗中心后被捕
发布时间 2024-12-111. 国际网络犯罪集团成员将 Airbnb 变成诈骗中心后被捕
12月9日,一个国际犯罪网络的八名成员在比利时和荷兰被捕,该网络涉嫌从受害者手中窃取数百万欧元,并设立Airbnb欺诈中心。此次行动由欧洲刑警组织协调,于12月3日在两国同时进行了多次搜查。荷兰警方逮捕了四名嫌疑人,指控他们犯有网络钓鱼、在线欺诈、银行帮助台欺诈、洗钱和参与犯罪组织等罪行,并没收了数据载体、手机、奢侈品和大量现金。据警方介绍,该网络犯罪集团租用Airbnb房产和豪华公寓作为临时呼叫中心,冒充银行员工或反欺诈工作组成员,通过电子邮件、短信或WhatsApp消息联系受害者,诱骗他们点击钓鱼网站链接,进而盗取账户资金。欧洲刑警组织警告公众要谨慎对待未经请求的通信,避免受到网络钓鱼和帮助台欺诈的欺骗,并提醒在销售二手商品的网站上进行小额支付时可能存在信用卡/借记卡信息被盗的风险。
https://www.bleepingcomputer.com/news/security/cybercrime-gang-arrested-after-turning-airbnbs-into-fraud-centers/
2. 恶意僵尸网络Socks5Systemz支持PROXY.AM代理服务
12月9日,Bitsight发现名为Socks5Systemz的恶意僵尸网络正在为PROXY.AM代理服务提供支持,该服务使犯罪者能够增加匿名层并执行恶意活动。Socks5Systemz自2013年起便在网络犯罪地下世界中宣传,其规模在2024年1月曾激增至每天约25万台机器,但目前估计在85,000到100,000台之间。同时,PROXY.AM声称拥有来自31个国家的80,888个代理节点。该僵尸网络最初由PrivateLoader、SmokeLoader和Amadey等加载器释放,现已发展到Socks5Systemz V2版本。此外,网络安全领域还面临其他威胁,如Gafgyt僵尸网络恶意软件利用配置错误的Docker Remote API服务器进行DDoS攻击,以及云配置错误成为攻击者的目标。莱顿大学和代尔夫特理工大学的研究人员发现多达215个实例暴露了敏感凭证,涉及多个领域,强调需要更好的系统管理和警惕的监督以防止数据泄露。
https://thehackernews.com/2024/12/socks5systemz-botnet-powers-illegal.html
3. 俄罗斯黑客疑似瞄准乌克兰国防企业开展新间谍活动
12月9日,据新报告称,疑似俄罗斯黑客正在针对乌克兰军事和国防企业开展新的间谍活动。乌克兰军方计算机应急响应小组MIL.CERT-UA追踪到该活动背后的威胁行为者为UAC-0185(也称为UNC4221),该组织自2022年以来一直活跃,主要通过消息应用程序和当地军事系统窃取乌克兰军事人员的凭证。攻击者发送网络钓鱼电子邮件,伪装成基辅合法国防会议的邀请,并选择性地对乌克兰国防工业综合体和国防部队员工的计算机发动网络攻击。尽管乌克兰尚未将该组织归咎于某个特定国家,但研究人员此前曾将其与俄罗斯联系起来。该组织使用知名工具如MeshAgent和UltraVNC感染受害者的设备,并通过多种方式入侵系统,包括利用包含恶意宏的电子邮件活动。乌克兰军方和国防企业是黑客的常见目标,此前也曾遭受其他与俄罗斯有联系的黑客组织的攻击。
https://therecord.media/suspected-russian-hackers-target-ukrainian-enterprises-espionage
4. CISA将Windows CLFS漏洞CVE-2024-49138加入已知利用漏洞目录
12月11日,美国网络安全和基础设施安全局(CISA)已将Microsoft Windows通用日志文件系统(CLFS)驱动程序中的一个漏洞CVE-2024-49138(CVSS评分7.8)列入其已知利用漏洞(KEV)目录。该漏洞在微软2024年12月的补丁星期二安全更新中得到修复,是此次更新的71个漏洞之一,且被标记为正在被积极利用的零日漏洞。尽管微软未公开有关此漏洞被利用的具体攻击信息,但攻击者可利用它获取SYSTEM权限。公告指出,CLFS驱动程序存在基于堆的缓冲区溢出漏洞,允许本地攻击者提升权限。根据具有约束力的操作指令22-01,联邦机构必须在规定截止日期前解决已发现的漏洞,以保护网络免受利用目录中漏洞的攻击。CISA要求联邦机构在2024年12月31日前修复此漏洞,同时专家也建议私人组织审查该目录并解决其基础设施中的相关漏洞。
https://securityaffairs.com/171851/hacking/u-s-cisa-adds-microsoft-windows-clfs-driver-flaw-to-its-known-exploited-vulnerabilities-catalog.html
5. WordPress插件WPForms发现高严重性漏洞,影响超600万网站
12月10日,WordPress插件WPForms中存在一个编号为CVE-2024-11205的高严重性漏洞,可能影响超过600万个网站。该漏洞允许经过身份验证的用户(包括订阅者)任意发出Stripe退款或取消订阅请求。问题源于不当使用函数“wpforms_is_admin_ajax()”,未强制执行功能检查以限制访问。漏洞影响WPForms 1.8.4至1.9.2.1版本,已在1.9.2.2版本中修复。WPForms是一个流行的拖放式WordPress表单构建器,支持多种支付平台。安全研究员“vullu164”发现该漏洞并报告给Wordfence,获得赏金。Wordfence确认漏洞后通知供应商Awesome Motive,后者发布修复版本。然而,由于大约一半使用WPForms的网站未使用最新版本,因此至少有300万个网站仍面临风险。尽管尚未检测到野外利用,但仍建议尽快升级或禁用该插件。
https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/
6. Black Basta勒索软件利用MS Teams和电子邮件轰炸传播恶意软件
12月10日,Black Basta勒索软件组织近期复苏,并发起了一场针对全球组织的复杂社会工程活动。Rapid7研究人员对此进行了详细调查,并发布了一份新报告。攻击者通过电子邮件轰炸、Microsoft Teams冒充以及利用QuickAssist和AnyDesk等工具获取远程访问权限,绕过MFA并执行恶意负载。在传播Black Basta勒索软件之前,威胁行为者会部署Zbot和DarkGate等工具来获取凭证、泄露数据和保持持久性。他们使用了更新的技术,如自定义打包程序混淆有效载荷、通过rundll32.exe执行DLL以及高级规避策略。为了缓解此类攻击的风险,组织应采用更强大的密码策略、提供安全培训并实施先进的防御措施。此次攻击活动始于电子邮件轰炸,通过诱骗用户授予远程访问权限,最终目标是部署Black Basta勒索软件加密关键数据并索要赎金。
https://hackread.com/black-basta-gang-ms-teams-email-bombing-malware/
京公网安备11010802024551号