Wazuh服务器成为Mirai僵尸网络的攻击目标
发布时间 2025-06-121. Wazuh服务器成为Mirai僵尸网络的攻击目标
6月10日,Akamai安全情报和响应团队(SIRT)近日发现,Mirai僵尸网络变种正在利用Wazuh服务器中的一个关键远程代码执行(RCE)漏洞(CVE-2025-24016)进行攻击活动。该漏洞最初于今年2月份被披露,但至今尚未被添加到美国网络安全和基础设施安全局(CISA)的已知被利用漏洞(KEV)目录中。Wazuh是一个用于威胁预防、检测和响应的免费开源平台,而此次受影响的版本为Wazuh 4.4.0至4.9.0,补丁已在4.9.1版本中发布。该漏洞允许具有API访问权限的远程攻击者通过上传恶意JSON文件来执行任意代码。具体来说,在Wazuh API中,DistributedAPI的参数会被序列化为JSON,并使用特定文件中的as_Wazuh_object进行反序列化。攻击者可以通过在DAPI请求中注入未经处理的字典来利用此漏洞,进而导致任意Python代码的执行,或者更通俗地说,诱骗系统运行恶意Python代码。研究人员强调,该漏洞仅影响运行过时版本的活动Wazuh服务器,因此敦促用户尽快更新到Wazuh 4.9.1或更高版本,以防范潜在的安全威胁。
https://cybernews.com/security/wazuh-servers-targeted-by-mirai-botnets/
2. Facebook上发现4000多个虚假网站发布虚假交易
6月10日,Silent Push威胁分析师近日发现了一个名为“GhostVendors”的庞大虚假市场网络,涉及超过4000个诈骗网站,这些网站冒充了包括亚马逊、Argos、Costco、Nordstrom、劳力士、密尔沃基工具(Milwaukee Tools,在诈骗广告中被篡改为“Millaeke”)以及勃肯(Birkenstock)等在内的数十个知名品牌。诈骗者通过Facebook Marketplace投放大量广告进行推广,利用极低的价格引诱消费者。他们巧妙地利用Meta的广告数据保留规则,在活动结束后迅速删除所有痕迹,使得防御者难以追踪。诈骗者不仅克隆知名品牌网站模板,还制作了数十个相似的假冒副本,通过“清仓”或“节日促销”等关键词以及令人难以置信的优惠交易来吸引访问者。一旦消费者上钩,诈骗者便可能不交付订购的产品或窃取其付款详细信息,实施金融欺诈。由于Meta的广告数据保留规则相对松懈,防御者在追踪这些快速启动和停止的诈骗活动时面临重大挑战。Silent Push警告称,黑客正在利用这些欺诈网站进行各种类型的金融欺诈,且目前几乎不可能全面追踪该网络上的恶意广告。因此,消费者需提高警惕,避免上当受骗,同时,相关平台也应加强监管,完善广告数据保留规则,以有效打击此类诈骗活动。
https://cybernews.com/security/thousands-domains-pushing-phony-deals-on-facebook/
3. 费城Mastery Schools遭勒索攻击,超3.7万人数据泄露
6月10日,费城特许学校网络Mastery Schools于2024年9月遭遇勒索软件攻击,导致37,031人个人数据泄露。此次事件涉及该学校在费城及卡姆登运营的23所校园,约14,000名学生受到影响。泄露的敏感信息广泛,包括社会保障号、医疗记录、学生档案、银行及财务信息、生物识别数据等。攻击导致学校核心业务中断,勒索组织DragonForce宣称对事件负责,并声称窃取了171GB数据,但Mastery Schools未证实该说法,也未透露入侵方式或是否支付赎金。校方表示,已确定未经授权者下载了部分数据,但目前尚无证据表明数据被用于身份盗用或欺诈。为协助受影响人员,Mastery Schools通过Experian的IdentityWorks服务提供免费身份保护,并加强了多因素认证应用、提升了终端监控能力,同时引入外部网络安全专家团队并联合联邦执法部门深入调查。Comparitech数据显示,2024年美国学校及大学共遭遇79起勒索攻击,波及近290万条记录,此类攻击常导致重大运营中断,如考试延期、薪资系统瘫痪等,对教育机构造成严重影响。
https://www.infosecurity-magazine.com/news/mastery-schools-data-breach/
4. “安全行动”国际执法:打击多国信息窃取恶意软件
6月11日,代号为“安全行动”的国际执法行动于2025年1月至4月开展,由国际刑警组织牵头,针对26个国家的信息窃取恶意软件基础设施展开大规模打击。行动重点打击通过广泛感染窃取财务和个人数据的信息窃取恶意软件团伙。信息窃取者窃取账户凭证、浏览器Cookie和加密货币钱包详情等数据,汇编成“日志”在网络犯罪市场出售或用于定向攻击高价值受害者。此次行动成果显著:关闭超20000个与信息窃取者相关的恶意IP/域名,查获41台支持信息窃取活动的服务器,逮捕32名嫌疑人,没收100GB数据,并通知216000名受害者。当局还发现香港有117台服务器组成的大型集群,被用作网络钓鱼、网络欺诈和社交媒体诈骗行动的命令和控制(C2)基础设施。越南警方在此次行动中表现突出,逮捕18名嫌疑人,其中包括一名专门出售公司账户的网络犯罪集团头目。行动还得到卡巴斯基、Group-IB和趋势科技等私人网络安全合作伙伴的协助。Group-IB指出,行动已影响与Lumma、RisePro和META Stealer相关的基础设施,研究人员向当局提供关键任务情报,并追踪了运营商用于宣传恶意软件和出售被盗数据的Telegram和暗网账户。
https://www.bleepingcomputer.com/news/security/operation-secure-disrupts-global-infostealer-malware-operations/
5. 伊利保险集团遭网络攻击导致业务中断
6月11日,伊利保险公司(Erie Insurance)和伊利赔偿公司近日透露,周末发生的网络攻击是导致其网站业务中断和平台瘫痪的原因。伊利赔偿公司作为伊利保险集团的管理公司,该集团是一家拥有超过600万份有效保单的财产和意外险保险公司,通过独立代理人提供多种保险服务。自6月7日星期六起,Erie Insurance便遭受大面积停电和业务中断,客户无法登录客户门户,在提出索赔或接收文件时遇到困难。伊利赔偿集团已向美国证券交易委员会提交8-K表格,称在6月7日检测到“异常网络活动”。伊利保险网站也发布通知,称信息安全团队在6月7日发现异常网络活动,并立即采取行动应对,以保护系统和数据。公司已启动事件响应协议,并采取保护措施确保系统安全。目前,伊利保险正在与执法部门合作,并在网络安全专家的协助下进行全面的取证分析,以全面了解事件。公司警告称,在停电期间不会致电或发送电子邮件给客户要求付款,并建议客户不要点击未知来源的链接或提供个人信息。对于需要提出索赔的投保人,公司提供了联系当地代理人或ERIE首次损失通知团队的电话,以及客户服务电话。目前,尚未确定此次攻击是否为勒索软件攻击,也未透露数据是否在攻击过程中被盗。伊利表示,该事件的全部范围、性质和影响仍有待进一步确定。
https://www.bleepingcomputer.com/news/security/erie-insurance-confirms-cyberattack-behind-business-disruptions/
6. Roundcube RCE漏洞补丁后遭利用,超8万台服务器受影响
6月11日,Roundcube这一流行Web邮件平台近日曝出严重远程代码执行(RCE)漏洞(编号CVE-2025-49113),该漏洞在补丁发布仅几天后就被威胁行为者利用,攻击了超过80,000台面向互联网的服务器。该漏洞CVSS评分高达9.9,此前已潜伏十余年,攻击者可借此控制受影响系统并运行恶意代码,对用户和组织构成巨大风险。FearsOff创始人兼首席执行官Kirill Firsov发现了此漏洞,他估计该漏洞影响超过5300万台主机,包括使用cPanel、Plesk等工具的服务器。NIST发布的安全公告指出,Roundcube Webmail 1.5.10之前的版本和1.6.11之前的1.6.x版本存在此漏洞,因URL中的_from参数未在特定文件中验证,导致PHP对象反序列化,从而允许经过身份验证的用户执行远程代码。该漏洞已在Roundcube 1.6.11和1.5.10 LTS版本中得到修复。漏洞披露后,Positive Technologies研究人员成功复现了该漏洞,并敦促用户立即更新至最新版本。然而,Shadowserver基金会研究人员警告称,互联网上仍有大约84,000个Roundcube实例未得到修补,存在严重安全隐患。
https://securityaffairs.com/178887/hacking/over-80000-servers-hit-as-roundcube-rce-bug-gets-rapidly-exploited.html
京公网安备11010802024551号