MathWorks披露勒索软件攻击,IT系统及多应用受影响
发布时间 2025-05-291. MathWorks披露勒索软件攻击,IT系统及多应用受影响
5月28日,总部位于马萨诸塞州纳蒂克的数学计算软件公司MathWorks周一在其网站更新中披露了一次勒索软件攻击。MathWorks以创建MATLAB计算平台和Simulink仿真而闻名,被众多组织和客户广泛使用。该公司表示,此次攻击影响了其IT系统,自5月18日起,部分客户使用的在线应用程序以及员工使用的某些内部系统均变得不可用。5月18日,MathWorks首次发布更新,指出多个应用程序存在问题,并正在评估影响和调查原因。在接下来的八次更新中,公司均表示正在继续调查。直到5月20日,公司报告称ThingSpeak也被添加到受影响应用程序列表中。5月21日,MathWorks修复了帐户单点登录和多因素身份验证功能,但同时指出Cloud Center和MATLAB Mobile是受影响的应用程序。5月23日,公司再次更新,表示MathWorks帐户服务质量下降,用户无法创建新帐户,且自2024年10月以来未登录的用户将无法登录,两步验证功能也只能间歇性工作。目前,部分受影响的系统已恢复上线,其他系统则在网络安全专家的协助下进行处理。MathWorks正在继续调查此次攻击,并努力解决应用程序中发现的问题,如MATLAB及其云中心的问题。公司已将此次攻击告知联邦执法机构,但尚未透露攻击细节,目前也尚无勒索软件团伙声称对此次攻击负责。
https://www.darkreading.com/vulnerabilities-threats/mathworks-confirms-ransomware-attack
2. AyySSHush僵尸网络入侵9000多个华硕路由器
5月28日,近日,超过9000台华硕路由器遭受名为“AyySSHush”的新型僵尸网络攻击,该僵尸网络还对思科、D - Link和Linksys的SOHO路由器发起攻击。2025年3月中旬,GreyNoise安全研究人员发现这一活动。此次攻击手段多样,结合暴力破解登录凭证、绕过身份验证和利用旧漏洞来危害华硕路由器,涉及RT-AC3100、RT-AC3200和RT-AX55等型号。攻击者利用CVE-2023-39780旧命令注入漏洞添加自己的SSH公钥,并启用SSH守护进程监听非标准TCP端口53282,这种修改让威胁行为者在重启和固件更新间仍保留对设备的后门访问权限,且固件升级后此配置更改仍会保留。攻击隐蔽,不涉及恶意软件,还关闭日志记录和趋势科技的AiProtection以逃避检测。目前,“AyySSHush”具体操作目标不明,但该活动似乎在悄悄构建后门路由器网络,为未来僵尸网络奠定基础。为保护华硕路由器,华硕已发布针对受影响路由器的CVE-2023-39780安全更新,发布时间因型号而异。建议用户尽快升级固件,在“authorized_keys”文件上查找可疑文件和攻击者的SSH密钥。
https://www.bleepingcomputer.com/news/security/botnet-hacks-9-000-plus-asus-routers-to-add-persistent-ssh-backdoor/
3. 新型PumaBot僵尸网络瞄准Linux IoT设备
5月28日,基于嵌入式Linux的物联网(IoT)设备正遭受新型僵尸网络PumaBot攻击。该僵尸网络由Go语言编写,针对SSH服务实施暴力破解攻击以扩大规模,并向受感染主机投递其他恶意软件。其不直接扫描互联网,而是从命令控制(C2)服务器获取目标列表后尝试暴力破解SSH凭证,成功入侵后会接收远程指令并通过系统服务文件建立持久化驻留。PumaBot通过针对开放SSH端口的IP地址列表实施暴力破解获取初始访问权限,目标IP列表从外部服务器获取。在暴力破解时,恶意程序会检查目标系统适用性及是否为蜜罐环境,还会检测特定监控摄像头制造商名称字符串,表明攻击者可能有针对性。入侵成功后,恶意软件收集系统信息回传至C2服务器,建立持久化机制并执行指令。它伪装成合法Redis系统文件,在systemd目录创建看似合法的服务文件,以抵御系统重启。此外,僵尸网络执行的指令包含非法加密货币挖矿相关命令,暗示被控设备被用于挖矿。溯源分析发现,该行动还部署了ddaemon等关联组件,包括基于Go的后门程序、SSH暴力破解工具、下载脚本等,各组件协同实现恶意功能,如窃取凭证、外传信息等。
https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html
4. LexisNexis Risk Solutions披露数据泄露事件
5月28日,LexisNexis Risk Solutions(LNRS)成为最新披露严重网络攻击并致数据被盗的知名机构,此次事件影响人数达364,333人。据发送给受影响个人的通知信,2024年12月25日,一个“未经授权的一方”访问了第三方软件开发平台并窃取了LNRS数据。该公司提供数据分析、了解客户及风险管理洞察等产品,于2025年4月1日检测到入侵,不过其自身网络或系统未受影响。LNRS在声明中称,收到未知第三方报告后,信息安全团队与取证公司协商展开调查,确认GitHub中保存的部分数据被获取,部分软件构件及个人信息遭访问。该公司补充,财务、信用卡或其他敏感个人信息未被访问,且其系统、基础设施和产品未受“损害”。LNRS已通知约36万名受影响人员及“相关监管机构”,并将事件报告给执法部门。被盗数据包括名字、电话号码、家庭住址、电子邮件地址、社会安全号码、驾驶执照号码和出生日期等。该机构致个人的信件指出,问题发生后,立即在外部网络安全专家协助下调查,通知执法部门,并采取措施审查和加强安全控制。同时提醒受影响个人警惕欺诈和身份盗窃,建议查看账户报表、监控免费信用报告,并告知美国公民每年有权获得一份免费信用报告,还可通过Experian获得24个月身份保护和信用监控。
https://www.theregister.com/2025/05/28/attack_on_lexisnexis_risk_solutions/
5. Interlock勒索团伙针对教育机构部署新型NodeSnake RAT
5月28日,Interlock勒索软件团伙正针对教育机构部署一种此前未记录的远程访问木马NodeSnake,以获取对企业网络的持续访问。研究人员报告称,2025年1月和3月,至少有两起针对英国大学的攻击案例中发现了NodeSnake的部署,且两个恶意软件样本差异显著,表明该木马正被积极开发以增添新功能。Interlock通过携带恶意链接或附件的网络钓鱼电子邮件传播NodeSnake RAT。该JavaScript恶意软件使用NodeJS执行,通过编写名为“ChromeUpdater”的欺骗性注册表项来冒充Google Chrome更新程序以建立持久性。为逃避检测,恶意软件作为独立后台进程运行,文件名和有效载荷随机命名,C2地址以随机延迟循环,还具有代码混淆、异或加密及控制台篡改等特性,且连接通过Cloudflare代理域路由。一旦激活,NodeSnake会收集关键元数据并泄露给C2,还能杀死进程或加载额外有效负载,较新的变种可执行CMD命令并动态更改C2轮询行为,允许实时Shell交互。NodeSnake的存在及其持续发展表明Interlock在不断发展且注重长期隐身持久性。
https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-deploys-new-nodesnake-rat-on-universities/
6. Dark Partners利用虚假软件下载网发动全球加密盗窃攻击
5月28日,Dark Partners威胁行为者正利用庞大虚假软件下载网站网络在全球发动加密盗窃攻击。这些克隆网站伪装成热门应用,提供Poseiden(macOS)和Lumma(Windows)等信息窃取程序及类似Payday的恶意软件加载程序,用于窃取加密货币和敏感数据,如主机信息、凭证、私钥或Cookie,这些数据或将在网络犯罪市场上出售。在Windows上,威胁行为者使用多家公司证书对恶意软件构建数字签名,其中涉及PayDay Loader;Lumma Stealer作为信息窃取程序之一,已被执法部门捣毁部分基础设施。在macOS上,投放的Poseidon Stealer使用自定义DMG启动器,针对Firefox和基于Chromium的网络浏览器。网络安全研究员g0njxa指出,Dark Partners通过模仿至少37个应用程序和工具的简单网站提供信息窃取者,这些网站中部分使用生成式AI技术。虚假网站列表涵盖加密应用、VPN服务、支付平台、3D建模应用等。登陆页面易识别,仅提供下载按钮且共享自定义“等待文件下载”框架。在提供恶意软件前,网站会检查机器人下载并发送用户信息。此外,Poseidon Stealer可收集浏览器数据,包括基于Chromium的浏览器及钱包扩展数据,还专门针对多个桌面应用程序的钱包文件夹。PayDay Loader是Windows专用恶意应用,用于传递信息窃取程序,有反沙盒模块,使用混淆函数检索C2服务器地址,建立持久性过程复杂。
https://www.bleepingcomputer.com/news/security/dark-partners-cybercrime-gang-fuels-large-scale-crypto-heists/
京公网安备11010802024551号