网络攻击者滥用YouTube和Google搜索结果传播恶意软件
发布时间 2025-01-161. 网络攻击者滥用YouTube和Google搜索结果传播恶意软件
1月14日,攻击者利用YouTube和Google搜索结果,针对寻找盗版和破解软件下载的用户实施网络攻击。他们在YouTube视频中包含虚假软件下载链接,诱骗用户点击并下载包含信息窃取恶意软件的程序。同时,在Google搜索结果中植入看似合法的盗版软件下载链接,实则也包含恶意软件。攻击者还利用Mediafire和Mega.nz等文件托管服务隐藏恶意软件来源,并使用密码保护和编码技术规避安全检测。此外,该攻击活动与一年前出现的Lumma Stealer类似,传播多种信息窃取恶意软件,如PrivateLoader、MarsStealer等。攻击者滥用人们对YouTube和文件共享服务的信任,尤其影响那些寻找盗版软件的用户。为了防御这些攻击,组织机构应了解当前威胁,保持警惕,并提高员工安全意识。
https://www.darkreading.com/threat-intelligence/cyberattackers-infostealers-youtube-comments-google-search
2. Fortinet防火墙遭大规模零日漏洞攻击
1月14日,去年12月,安全研究人员观察到针对Fortinet防火墙的大规模攻击活动,攻击者可能利用了尚未修补的零日漏洞。这些攻击导致数百到数千次恶意登录事件,攻击者通过管理界面获得访问权限,并修改了防火墙配置,使用SSL VPN隧道维持连接,窃取凭证以在受害者网络中横向移动。尽管具体细节仍在调查中,但北极狼实验室高度确信零日漏洞被大规模利用。受影响的固件版本包括7.0.14至7.0.16。攻击者还广泛使用了设备的基于Web的命令行界面,并与异常源IP地址建立了可疑连接。这些攻击从11月中旬开始,但直到12月才发生大规模防火墙配置更改。攻击者创建了新的超级管理员账户,打开了本地用户账户,并将它们添加到具有VPN访问权限的组中,或者劫持现有账户。他们还创建了新的SSL VPN门户,并将用户账户直接添加到这些门户中。一旦建立了SSL VPN隧道,攻击者就会收集凭据进行横向移动,并使用了Kali Linux工具。尽管无法确定攻击者的最终目标,但勒索软件的可能性并不能排除。
https://www.theregister.com/2025/01/14/miscreants_mass_exploited_fortinet_firewalls/
3. 5000个WordPress网站遭新型恶意软件入侵
1月14日,一种新型恶意软件活动已成功入侵超过5000个WordPress网站,其主要目的为创建管理员帐户、安装恶意插件并窃取敏感数据。Webscript安全公司c/side的研究人员在对客户事件响应中发现,这些恶意活动利用了wp3[.]xyz域名进行数据窃取,但具体的初始感染途径尚未明确。一旦攻击得手,恶意脚本便会从wp3[.]xyz加载,并利用预设凭据创建名为wpx_admin的恶意管理员帐户。随后,该脚本会从同一域名下载并激活一个恶意插件(plugin.php),该插件旨在收集管理员凭据、日志等敏感信息,并以混淆方式将其伪装成图像请求发送至攻击者服务器。此外,攻击过程中还包含多个验证步骤,如记录恶意管理员帐户创建状态及验证恶意插件安装等。为阻止此类攻击,c/side建议网站所有者利用防火墙和安全工具封锁wp3[.]xyz域名。同时,管理员应定期检查特权帐户和已安装插件列表,及时识别并删除未经授权的活动。此外,加强WordPress网站的CSRF保护也至关重要,实施多因素身份验证还可为已泄露凭证的帐户提供额外保护。
https://www.bleepingcomputer.com/news/security/wp3xyz-malware-attacks-add-rogue-admins-to-5-000-plus-wordpress-sites/
4. Google OAuth漏洞:已倒闭初创公司域名成攻击者新目标
1月14日,Google的OAuth登录功能存在一个重大安全隐患,可能被攻击者利用来访问前员工在SaaS平台上的敏感数据。这一漏洞由Trufflesecurity研究人员发现,并向谷歌报告,但最初并未得到足够重视。尽管谷歌后来向研究人员颁发了赏金并重新开启了调查,但截至目前,该问题仍未得到解决。攻击者可以通过注册已倒闭初创公司的域名,并利用这些域名为前雇员重新创建电子邮件帐户,从而访问他们在Slack、Notion、Zoom、ChatGPT等服务上的账户。研究人员发现,通过购买已停用的域名,攻击者可以从人力资源系统中提取敏感数据,并登录各种服务。这个问题影响了数百万人和数千家公司,而且随着时间的推移,问题只会变得越来越严重。因为大多数科技初创公司注定会倒闭,而他们中的许多使用Google Workspaces来收发电子邮件,因此他们的员工使用Gmail帐户登录生产力工具。为了防范此类风险,建议离开初创公司时从帐户中删除敏感数据,并避免使用工作帐户进行个人帐户注册。
https://www.bleepingcomputer.com/news/security/google-oauth-flaw-lets-attackers-gain-access-to-abandoned-accounts/
5. MIG遭Black Basta勒索软件攻击,大量客户信息泄露
1月14日,美国东南部最大的抵押贷款机构之一,总部位于田纳西州的抵押贷款投资者集团(MIG)上个月遭遇了一次网络安全事件,导致大量客户信息可能泄露。MIG未透露具体受影响客户数量,但已聘请供应商识别受影响的个人,并计划在几周内完成通知工作。据MIG网站通知,此次网络攻击始于12月11日,并于次日被发现,一名未经授权的用户进入了MIG的计算机环境,导致多名个人的敏感个人信息被泄露。此次攻击由Black Basta勒索软件团伙发起,该团伙是目前最臭名昭著的黑客组织之一,曾袭击过全球至少500个组织,并瞄准了16个关键基础设施部门中的12个。近年来,勒索软件团伙屡屡将目标对准涉及住房行业的金融机构,已有多家大公司遭受攻击,导致住房购买受阻。
https://therecord.media/tennessee-mortgage-lender-confirms-cyberattack
6. 西黑文政府IT系统遭网络攻击,麒麟勒索软件组织声称负责
1月14日,康涅狄格州西黑文市政府正在调查一起导致其所有IT系统暂时关闭的网络攻击事件。市长多琳达·博雷尔在1月11日表示,这起“IT系统安全事故”致使政府系统关闭,而政府最初在12月26日于Facebook上仅提及遭遇“网络中断”。目前,该市仍在评估哪些数据可能受到此次事件的影响,但已建立应对惯例和总体准备,受影响系统已有备份,预计几天内可恢复运行。尽管有评论请求确认是否为勒索软件攻击,但西黑文市未予回应。然而,1月11日,麒麟勒索软件组织声称对此次攻击负责。该组织曾攻击血液检测巨头Synnovis,导致100万人的敏感医疗数据泄露及1100多例手术推迟,引发国际愤怒。麒麟组织自2022年起以勒索软件即服务形式攻击美欧多家组织,已确认发起至少25起攻击,还有100多起未经证实的攻击。与此同时,美国多个城市报告假日网络事件,马萨诸塞州伯恩镇也于1月11日报告其IT网络遭入侵。
https://therecord.media/west-haven-connecticut-city-government-cyberattack
京公网安备11010802024551号