BadBox恶意软件僵尸网络持续扩张,全球感染设备超19.2万台
发布时间 2024-12-201. BadBox恶意软件僵尸网络持续扩张,全球感染设备超19.2万台
12月19日,BadBox Android 恶意软件僵尸网络在全球范围内持续扩张,感染设备数量已超过192,000台,其中包括知名品牌的智能电视和智能手机,如Yandex和海信。该恶意软件最初通过供应链攻击感染不知名制造商的设备,现已扩展到在线销售的无名产品及其他知名品牌。其目标主要是获取经济利益,通过将设备变成住宅代理或用于广告欺诈实现。尽管德国联邦信息安全局(BSI)曾宣布捣毁BadBox的行动,切断了30,000台设备的通信,但BadBox仍在继续发展。BitSight研究人员发现,该恶意软件已安装在192,000台设备上,且数量仍在稳步增长。受影响的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。消费者应应用最新的固件安全更新、将智能设备与关键系统隔离并在不使用时断开网络连接,以防范BadBox感染。若设备无可用更新,建议断开网络或关闭设备。感染迹象包括过热、性能下降、处理器使用率高和网络流量异常。
https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/
2. 微软365 Office应用现“产品已停用”错误,源于许可证变更问题
12月19日,微软正在调查一个导致Microsoft 365 Office应用用户触发“产品已停用”错误的问题。据Reddit和微软社区网站上的报告,用户在Office应用中随机收到此错误,造成混乱和中断。问题源于管理员发起的许可证变更,如移动用户到不同的许可组或更改用户订阅。当管理员删除并重新添加用户到许可证组、调整许可证或服务计划设置,或切换“最新版本的桌面应用程序”服务计划时,也会触发此问题。用户可以通过单击错误横幅上的“重新激活”按钮或退出并重新启动Microsoft 365应用来解决此问题。如果问题仍然存在,建议联系管理员检查订阅是否已过期。微软建议有未解决支持案例的用户提供使用Office许可诊断工具收集的诊断数据,并提示受影响的用户提供存储在%temp%/diagnostics目录中的日志。虽然微软尚未公布修复时间表,但其工程团队正在积极调查此问题,并鼓励受影响的用户和管理员关注其支持渠道以获取更新。
https://www.bleepingcomputer.com/news/microsoft/microsoft-365-users-hit-by-random-product-deactivation-errors/
3. 亚马逊应用商店惊现BMI CalculationVsn恶意间谍软件
12月19日,在亚马逊应用商店中,一款名为“BMI CalculationVsn”的Android应用程序被发现实际上是一款恶意间谍软件,它伪装成健康工具窃取用户设备数据。该应用由迈克菲实验室的研究人员发现,并已被从商店中移除,但已安装的用户需手动删除并执行完整扫描以清除残留痕迹。该间谍软件由“PT Visionet Data Internasional”发布,最初宣传为身体质量指数(BMI)计算器,但后台执行恶意操作,包括启动屏幕录制服务、扫描已安装的应用程序以及拦截并收集短信,包括一次性密码和验证码。鉴于此类危险应用仍能逃避合法应用商店的代码审查,Android用户应只安装来自知名发行商的应用,并仔细检查所请求的权限,在安装后撤销有风险的权限。同时,保持Google Play Protect活跃状态对于检测并阻止已知恶意软件至关重要。
https://www.bleepingcomputer.com/news/security/android-spyware-found-on-amazon-appstore-disguised-as-health-app/
4. Mirai恶意软件利用默认凭证感染Session Smart路由器
12月19日,瞻博网络向客户发出警告,指出Mirai恶意软件正在利用默认凭证攻击并感染Session Smart路由器,进而发起分布式拒绝服务(DDoS)攻击。该恶意软件会扫描具有默认登录凭据的设备,并在获得访问权限后远程执行命令。瞻博网络建议客户立即更改所有Session Smart路由器上的默认凭据,并使用独特且强的密码,同时保持固件更新,检查访问日志中的异常,并部署入侵检测系统和防火墙来增强安全性。此外,瞻博网络还提醒管理员注意潜在的入侵指标,如扫描常见端口、SSH服务登录尝试失败、出站流量激增等。已经感染的路由器必须重新映像化才能重新上线。此前,瞻博网络也曾多次警告其产品中存在的远程代码执行漏洞和身份验证绕过漏洞,并发布了相应的补丁。
https://www.bleepingcomputer.com/news/security/juniper-warns-of-mirai-botnet-targeting-session-smart-routers/
5. BeyondTrust遭网络攻击,发现安全漏洞并紧急应对
12月19日,BeyondTrust是一家提供特权访问管理和安全远程访问解决方案的网络安全公司,在12月初遭受了网络攻击。威胁行为者入侵了其部分远程支持SaaS实例,获得了远程支持SaaS API密钥的访问权限,可以重置本地应用程序帐户的密码。BeyondTrust立即撤销了API密钥,通知了受影响的客户,并暂停了这些实例。在调查过程中,发现了两个漏洞,其中一个为严重的命令注入漏洞CVE-2024-12356,另一个为中等严重性漏洞CVE-2024-12686。BeyondTrust已自动在所有云实例上应用了针对这两个缺陷的补丁,但运行自托管实例的用户需要手动应用安全更新。目前尚不清楚威胁行为者是否利用这些漏洞来攻击下游客户,但CISA表示CVE-2024-12356已被利用于攻击。BeyondTrust表示,他们正在继续与独立的第三方网络安全公司合作进行彻底调查,并专注于确保所有客户实例都得到全面更新和安全保障。
https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/
6. FortiWLM曝严重漏洞:可远程接管设备
12月19日,Fortinet无线管理器(FortiWLM)中存在一个编号为CVE-2023-34990的严重漏洞,该漏洞允许远程攻击者通过特制Web请求执行未经授权的代码或命令,从而接管设备。此漏洞是一个相对路径遍历漏洞,评分为9.8,由Horizon3研究员Zach Hanley在2023年5月发现。然而,在长达十个月的时间里,该漏洞未得到修复,迫使Hanley在2024年3月公开披露了漏洞信息和证明代码(POC)。利用此漏洞,攻击者可以读取敏感日志文件,包括管理员会话ID,进而劫持管理员会话并获取特权访问。该漏洞影响了FortiWLM版本8.6.0至8.6.5和8.5.0至8.5.4。尽管研究人员已发出警告,但由于缺乏CVE ID和安全公告,用户并未意识到风险。直到2024年12月18日,Fortinet才发布安全公告称,该漏洞已在2023年9月底发布的FortiWLM版本8.6.6和8.5.5中得到修复。考虑到FortiWLM被广泛应用于政府机构、医疗保健组织、教育机构和大型企业等关键环境中,该漏洞的存在可能导致整个网络中断和敏感数据泄露。因此,强烈建议FortiWLM管理员及时应用所有可用更新。
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-fortiwlm-bug-giving-hackers-admin-privileges/
京公网安备11010802024551号