塞尔维亚政府利用高通零日漏洞部署NoviSpy间谍软件
发布时间 2024-12-181. 塞尔维亚政府利用高通零日漏洞部署NoviSpy间谍软件
12月16日,塞尔维亚政府被曝利用高通零日漏洞,在Android设备上部署了一种名为“NoviSpy”的新间谍软件,以监视活动人士、记者和抗议者。此次攻击涉及的高通漏洞CVE-2024-43047等,在2024年10月被Google Project Zero标记为零日漏洞,并于次月在Android上得到修复。国际特赦组织安全实验室在分析一名记者的手机时发现了该间谍软件。据称,塞尔维亚安全信息局和警方利用Cellebrite解锁工具,通过高通零日漏洞解锁了Android手机,并部署了NoviSpy。该间谍软件与塞尔维亚安全机构绑定的服务器通信,已安装在塞尔维亚数十台甚至数百台Android设备上。谷歌的威胁分析小组与国际特赦组织合作,发现了高通DSP驱动程序中的多个漏洞,这些漏洞可能被用于绕过Android安全机制并在内核级别安装NoviSpy。尽管谷歌已向高通报告了这些问题,但部分漏洞的补丁尚未发布。高通表示,已向客户提供修复程序,并鼓励用户应用安全更新。
https://www.bleepingcomputer.com/news/security/new-android-novispy-spyware-linked-to-qualcomm-zero-day-bugs/
2. SRP联邦信用合作社遭网络攻击,24万用户信息疑被盗
12月16日,SRP联邦信用合作社近日遭遇网络攻击,超过240,742人的个人信息可能被盗。SRP联邦信用合作社成立于1960年,总部位于南卡罗来纳州北奥古斯塔,为佐治亚州和南卡罗来纳州约200,000名个人提供金融服务。据称,攻击者自2024年9月5日至11月4日期间访问了其系统,并可能获取了包含姓名、出生日期、驾照号码、社会保障号码和财务信息等在内的个人文件。SRP联邦信用合作社已向德克萨斯州和缅因州的总检察长办公室报告此事,并向可能受影响的个人发送书面通知,提供一年的免费身份保护服务。尽管尚未发现信息被滥用的证据,但合作社鼓励受影响者利用提供的免费信用监控。此次网络攻击可能与勒索软件组织Nitrogen有关,该组织声称窃取了SRP联邦信用合作社约650GB的数据,并在其基于Tor的泄漏网站上出售。
https://www.securityweek.com/srp-federal-credit-union-ransomware-attack-impacts-240000/
3. CISA警告Windows内核漏洞及Adobe ColdFusion漏洞正被积极利用
12月16日,CISA已向美国联邦机构发出警告,要求防范针对高严重性Windows内核漏洞CVE-2024-35250的持续攻击。该漏洞由DEVCORE研究团队发现并通过趋势科技的零日计划报告给微软,是由于不受信任的指针取消引用弱点造成的,允许本地攻击者以低复杂度获得SYSTEM权限。微软在6月发布了补丁,但四个月后GitHub上发布了概念验证漏洞代码,表明该漏洞正在被积极利用。同时,CISA还添加了另一个严重的Adobe ColdFusion漏洞CVE-2024-20767,该漏洞由于访问控制不当导致,允许远程攻击者读取系统和其他敏感文件。超过145,000台ColdFusion服务器暴露在互联网上,构成重大风险。CISA将这两个漏洞添加到其已知被利用漏洞目录中,并标记为被积极利用,要求联邦机构在三周内保护其网络。同时,也建议私人组织优先缓解这些漏洞以阻止正在进行的攻击。微软对于CVE-2024-35250野外利用的更多详细信息尚未发表评论。
https://www.bleepingcomputer.com/news/security/windows-kernel-bug-now-exploited-in-attacks-to-gain-system-privileges/
4. Bitter网络间谍组织利用新型MiyaRAT恶意软件攻击土耳其国防组织
12月17日,网络间谍威胁组织Bitter被发现使用新型恶意软件家族MiyaRAT攻击土耳其国防组织。MiyaRAT与Bitter之前使用的WmRAT恶意软件一起被部署。Proofpoint指出,这种新型恶意软件很可能是针对高价值目标的,并且仅偶尔被使用。Bitter组织自2013年以来一直活跃,主要针对亚洲政府和重要组织。他们过去曾利用Microsoft Office漏洞和冒充外交机构进行网络钓鱼攻击。此次土耳其的攻击始于一封包含外国投资项目诱惑的电子邮件,邮件中的RAR压缩文件包含了伪装成PDF的快捷方式文件,以及嵌入在RAR文件中的备用数据流(ADS)。一旦收件人打开LNK文件,就会触发隐藏在ADS中的PowerShell代码执行,同时创建一个计划任务以定期运行恶意命令。当WmRAT无法与命令和控制服务器建立通信时,Bitter会下载MiyaRAT。这两种恶意软件都是C++远程访问木马(RAT),提供数据泄露、远程控制、屏幕截图等功能。MiyaRAT更加完善,具有更先进的数据和通信加密。
https://www.bleepingcomputer.com/news/security/bitter-cyberspies-target-defense-orgs-with-new-miyarat-malware/
5. Ledger网络钓鱼新骗局:伪装数据泄露窃取恢复短语
12月17日,一项针对Ledger硬件加密货币钱包的网络钓鱼活动正在肆虐。该活动通过伪装成数据泄露通知的邮件,诱骗用户验证其恢复短语,进而窃取用户的加密货币。Ledger是一款用于存储、管理和出售加密货币的硬件钱包,其资金由24字、12字或18字的恢复短语保护。然而,攻击者利用用户对数据泄露的担忧,发送看似来自Ledger官方的钓鱼邮件,要求用户在钓鱼页面上验证恢复短语。这些邮件实际上是通过SendGrid电子邮件营销平台发送的,钓鱼页面则伪装成Ledger网站,要求用户输入恢复短语进行安全检查。一旦用户输入,钓鱼页面就会将所有输入的恢复短语发送到网站后端存储,攻击者便能完全访问并窃取用户的加密货币资金。针对此活动,Ledger持有者应提高警惕,切勿在任何应用或网站上输入恢复短语。当涉及加密货币和金融资产时,请始终在浏览器中输入要访问的域名。请忽略任何声称来自Ledger的电子邮件,尤其是声称您受到数据泄露影响或要求验证恢复短语的邮件。
https://www.bleepingcomputer.com/news/security/new-fake-ledger-data-breach-emails-try-to-steal-crypto-wallets/
6. 思科数据遭泄露:2.9GB数据在Breach Forums曝光
12月16日,黑客在Breach Forums上泄露了属于思科公司的2.9GB数据,这是4.5TB数据集的一部分。据黑客声称,这些数据是思科在2024年10月未进行任何密码保护或安全认证的情况下暴露的。此次泄露事件由臭名昭著的黑客兼论坛所有者IntelBroker发起,他此前曾试图出售包括来自Verizon、AT&T和Microsoft等公司的敏感信息在内的数据集。思科对此事作出回应,否认其核心系统受到攻击,并将问题归咎于面向公众的DevHub资源配置错误。然而,IntelBroker坚持认为其在10月18日之前都可以访问这些数据,并提供了证据来证明其主张。泄露的数据包含思科多个重要产品的相关信息,如Cisco ISE、Cisco SASE、Cisco Webex等。此外,IntelBroker还因多次数据泄露事件而出名,包括入侵Apple Inc.、AMD以及欧洲刑警组织等。此次泄露事件再次提醒各组织要保持安全实践并保护敏感数据,而剩余的4.5TB数据集是否会被出售、泄露或解决仍有待观察。
https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/
京公网安备11010802024551号