MUT-1244威胁行为者大规模窃取WordPress凭证及敏感信息
发布时间 2024-12-171. MUT-1244威胁行为者大规模窃取WordPress凭证及敏感信息
12月14日,名为MUT-1244的威胁行为者在一场长达一年的大规模活动中,通过木马病毒感染的WordPress凭证检查器窃取了超过390,000个WordPress凭证。同时,该行为者还从数百名受害者(包括红队成员、渗透测试人员、安全研究人员以及恶意行为者)的受感染系统中盗取了SSH私钥和AWS访问密钥。攻击者利用被木马化的GitHub存储库推送恶意概念验证漏洞和进行网络钓鱼活动,欺骗目标安装伪装成CPU微码更新的假内核升级。这些存储库增加了其合法性,使得安全专业人员和威胁行为者更容易运行它们。攻击者通过GitHub repos以多种方式投放有效载荷,包括带有后门的配置编译文件、恶意PDF文件、Python投放器以及恶意npm包。此次攻击活动与另一次长达一年的供应链攻击有重叠,其中涉及窃取数据和挖掘门罗币加密货币。MUT-1244能够访问并泄露私人SSH密钥、AWS凭证等敏感信息,并利用网络安全社区内的信任,在目标不知情的情况下执行恶意软件,入侵了数十台机器。
https://www.bleepingcomputer.com/news/security/390-000-wordpress-accounts-stolen-from-hackers-in-supply-chain-attack/
2. CISA将Cleo漏洞CVE-2024-50623添加到其已知被利用漏洞目录中
12月14日,美国网络安全和基础设施安全局(CISA)已将影响Cleo产品的漏洞CVE-2024-50623(CVSS评分8.8)列入其已知利用漏洞(KEV)目录中。Cleo公司发现了一个不受限制的文件上传和下载漏洞,可能导致远程代码执行,并建议客户立即将Harmony、VLTrader和LexiCom实例升级到最新补丁版本5.8.0.21以解决潜在攻击媒介。然而,安全公司Huntress报告称,即使安装了该补丁,运行5.8.0.21的系统仍可能被利用。Huntress发现了针对Cleo文件传输软件的主动攻击,并公开了涉及三种Cleo产品的持续攻击。首席安全研究员Caleb Stewart开发了利用任意文件写入漏洞的Python脚本,并证实了漏洞的有效性。CISA要求联邦机构在2025年1月3日之前修复此漏洞,专家也建议私人组织审查该目录并解决其基础设施中的漏洞,以保护网络免受攻击。
https://securityaffairs.com/171973/security/u-s-cisa-adds-cleo-harmony-vltrader-and-lexicom-flaw-to-its-known-exploited-vulnerabilities-catalog.html
3. ConnectOnCall远程医疗平台遭重大数据泄露
12月16日,ConnectOnCall是一个专注于加强医疗服务提供者与患者沟通的远程医疗平台,近日披露了一起重大数据泄露事件,影响超过900,000人的个人信息及医疗信息安全。该平台提供自动患者呼叫跟踪、HIPAA合规聊天功能,并与电子健康记录系统集成。5月12日,ConnectOnCall发现安全漏洞,经调查确认,2024年2月16日至5月12日期间,有未知第三方访问了平台及应用程序内的部分数据,包括医患通信信息。事件曝光后,公司迅速聘请网络安全专家,下线产品,并在安全环境中进行数据恢复,同时通知了联邦执法部门。泄露信息可能包括姓名、电话号码、出生日期、社会保险号、医疗记录号及健康状况等。尽管目前未发现信息滥用或患者受害情况,ConnectOnCall仍建议受影响个人保持警惕,并报告可疑身份盗窃或欺诈行为。公司已向执法部门报告并通知受影响个人,为其中有限数量的社会安全号码受影响者提供身份和信用监控服务,通过邮寄通知信的方式告知相关情况。
https://securityaffairs.com/172053/data-breach/connectoncall-data-breach-impacted-over-900000-individuals.html
4. 德克萨斯理工大学健康科学中心遭网络攻击
12月16日,德克萨斯理工大学健康科学中心及其埃尔帕索分校近期遭受了一次网络攻击,导致计算机系统和应用程序中断,并可能泄露了140万名患者的敏感数据。该机构是一家公共学术医疗机构,负责教育、培训和患者护理服务。攻击导致2024年9月17日至9月29日期间从该机构网络中访问或删除了某些文件和文件夹。可能泄露给黑客的信息包括姓名、出生日期、地址、社会安全号码、驾驶执照号码、政府身份证号码、财务账户信息、健康保险信息、医疗信息、账单/索赔数据、诊断和治疗信息等。该机构已通知受影响的人,并为他们提供免费的信用监控服务。建议受影响的个人保持警惕,防范潜在的网络钓鱼和社会工程攻击,并监控他们的信用报告和健康保险账单。据称,此次攻击由名为Interlock的勒索软件组织负责,该组织泄露了210万个文件,总计2.6TB的数据,据称是从该机构窃取的。Interlock索要的赎金金额从数十万美元到数百万美元不等。
https://www.bleepingcomputer.com/news/security/texas-tech-university-system-data-breach-impacts-14-million-patients/
5. 大规模恶意广告活动传播Lumma Stealer信息窃取软件
12月16日,一项名为“DeceptionAds”的大规模恶意广告活动正在利用Monetag广告网络传播Lumma Stealer信息窃取恶意软件。该活动通过虚假的CAPTCHA验证页面诱骗用户运行恶意PowerShell命令,从而感染恶意软件。Guardio Labs和Infoblox的研究人员发现,这一操作由名为“Vane Viper”的威胁行为者实施,利用合法广告网络上的大规模广告将用户带到虚假的CAPTCHA页面。CAPTCHA页面包含JavaScript代码,将恶意PowerShell命令复制到用户剪贴板,并诱导用户执行。Lumma Stealer可从浏览器中窃取cookie、凭据、密码、信用卡和浏览历史记录,以及加密货币钱包、私钥和敏感文本文件。GuardioLabs已向Monetag和BeMob报告此滥用行为,并得到及时响应。然而,该活动在12月出现复苏,表明威胁行为者试图通过不同广告网络恢复运营。用户应避免执行网站提示的命令,特别是那些假装修复或验证码的命令,并谨慎使用盗版软件或非法流媒体网站。
https://www.bleepingcomputer.com/news/security/malicious-ads-push-lumma-infostealer-via-fake-captcha-pages/
6. 罗德岛州RIBridges系统遭Brain Cipher勒索软件攻击
12月16日,罗德岛州警告称,其由德勤管理的RIBridges系统遭受了Brain Cipher勒索软件团伙的入侵,导致数据泄露,暴露了居民的个人信息。RIBridges是该州用于管理和提供公共援助计划的现代综合资格系统。此次事件于2024年12月5日被发现,德勤评估后认为黑客可能窃取了包含个人身份信息和其他数据的文件。受影响的项目包括医疗补助、补充营养援助计划、贫困家庭临时援助等多个公共服务项目。尽管泄露的数据仍在评估中,但可能包括姓名、地址、出生日期、社会安全号码和某些银行信息。受影响的家庭将通过邮件收到通知,并可致电专用呼叫中心寻求支持。罗德岛州当局建议居民重置密码、设置欺诈警报和信用冻结,并启动银行提供的安全措施。德勤发言人确认,罗德岛州的系统是受到Brain Cipher数据泄露影响的“单一客户端系统”,并表示将与客户和执法官员合作展开调查。
https://www.bleepingcomputer.com/news/security/rhode-island-confirms-data-breach-after-brain-cipher-ransomware-attack/
京公网安备11010802024551号