超70台Exchange服务器遭攻击,通过键盘记录器窃取凭证
发布时间 2025-06-271. 超70台Exchange服务器遭攻击,通过键盘记录器窃取凭证
6月24日,据Positive Technologies的最新分析报告显示,不明攻击者正针对暴露在公网的Microsoft Exchange服务器发起定向攻击,通过向登录页面注入恶意代码来窃取用户凭证。这些恶意代码以JavaScript编写的键盘记录器形式存在,主要分为两种变体:一种是本地存储型,它将窃取的凭证写入服务器上可通过互联网访问的本地文件;另一种是实时外传型,它将收集的数据立即发送至外部服务器。此次攻击已波及全球26个国家的65个机构,是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前,该公司已发现至少30名机构受害者,涵盖政府机构、银行、IT公司和教育机构,首次入侵证据可追溯至2021年。攻击者利用Microsoft Exchange Server中的已知漏洞,如ProxyShell等,向登录页面插入键盘记录代码,以实施窃取行为。这些已被武器化的漏洞包括多个严重级别的安全漏洞,如CVE-2014-4078、CVE-2020-0796以及多个与ProxyLogon和ProxyShell相关的漏洞。在受感染的服务器中,有22台位于政府机构,其次是IT、工业和物流公司。
https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html
2. Rapid7发现Brother等品牌打印机存在严重安全漏洞
6月25日,Rapid7的研究人员发现,Brother及其他多家供应商的数百种打印机型号存在潜在严重漏洞,这些漏洞可能使数百万企业和家庭打印机面临黑客攻击的风险。研究人员在Brother生产的多功能打印机中发现了八个漏洞,这些漏洞不仅影响了Brother的689款打印机、扫描仪和标签机型号,还波及了富士商业创新、理光、柯尼卡美能达和东芝等品牌的共计60余款打印机。其中,最为严重的漏洞编号为CVE-2024-51978,其严重等级被评定为“严重”。该漏洞允许远程和未经身份验证的攻击者通过获取设备的默认管理员密码来绕过身份验证,进而重新配置设备或滥用经过身份验证的用户功能。而这一漏洞的利用,又与另一个信息泄露漏洞CVE-2024-51977密切相关,攻击者可以利用后者获取设备序列号,而该序列号正是生成默认管理员密码所必需的。大约一年前,Rapid7已通过日本JPCERT/CC向Brother报告了这些发现。Brother随后发布了公告告知客户这些漏洞,并已修复了大部分漏洞。然而,对于CVE-2024-51978这一严重漏洞,Brother表示无法在固件中完全修复,但已采取新的制造工艺确保未来的设备不会受到攻击。对于现有设备,Brother也提供了解决方法。同时,JPCERT/CC、理光、富士、东芝和柯尼卡美能达等品牌也发布了相关公告,提醒用户注意这些安全漏洞并采取相应措施。
https://www.securityweek.com/new-vulnerabilities-expose-millions-of-brother-printers-to-hacking/
3. CISA确认AMI MegaRAC BMC软件严重漏洞正遭攻击利用
6月26日,美国网络安全与基础设施安全局(CISA)已确认,美国美格纳(AMI)公司的MegaRAC基板管理控制器(BMC)软件中存在一个最高严重性的安全漏洞,且该漏洞目前正受到攻击利用。MegaRAC BMC固件为服务器提供了远程系统管理功能,使得技术人员无需实际到场即可进行故障排除,这一功能被多家为云服务提供商和数据中心提供设备的供应商广泛使用,包括惠普企业(HPE)、华硕(Asus)和华擎(ASRock)等。然而,该固件中的身份验证绕过安全漏洞(编号为CVE-2024-54085)却给服务器安全带来了巨大威胁。这一漏洞可被远程未经身份验证的攻击者利用,以低复杂度攻击的方式劫持并可能破坏未修补的服务器,且无需用户交互。今年3月,当AMI发布安全更新以修复CVE-2024-54085时,Eclypsium发现线上有超过1000台服务器可能面临攻击风险。该公司还表示,由于MegaRAC BMC固件二进制文件未加密,创建漏洞利用并不困难。
https://www.bleepingcomputer.com/news/security/cisa-ami-megarac-bug-that-lets-hackers-brick-servers-now-actively-exploited/
4. 肯塔基州中部放射诊断中心16.7万人信息遭泄露
6月26日,肯塔基州中部放射诊断中心(Central Kentucky Radiology)近日披露了一起严重的网络安全事件,该事件导致约16.7万人的个人信息被泄露。据悉,黑客在2024年10月16日至18日期间侵入了该机构的内部网络,并成功窃取并复制了系统内的文件。这一事件经过长达七个月的数据分析后,终于在2025年5月7日得到了确认。肯塔基州中部放射诊断中心表示,被盗的文件中包含了患者的敏感信息,如姓名、住址、出生日期、社会安全号码、医疗服务日期及费用明细等。这些信息一旦泄露,可能会给患者带来严重的隐私和安全风险。为了应对这一事件,肯塔基州中部放射诊断中心从2025年6月13日起,开始向受影响的人群寄送书面通知函,告知他们个人信息泄露的情况,提供为期12个月的免费信用监控服务,并向佛蒙特州、缅因州总检察长办公室及美国卫生与公众服务部进行了报备。此外,肯塔基州中部放射诊断中心还同步推送了反诈指南。
https://www.securityweek.com/central-kentucky-radiology-data-breach-impacts-167000/
5. 供应链事件波及格拉斯哥市政服务,关键数据面临风险
6月26日,格拉斯哥市议会近日发出警告,其四级供应商遭遇的安全事件已导致多项在线服务中断,并使用户数据面临泄露风险。6月19日,该议会的IT服务商CGI发现其分包商管理的服务器上存在恶意活动,议会随即采取紧急措施,隔离了相关服务器,然而这一行动也导致了本地多项数字服务的瘫痪。此次受影响的服务范围广泛,包括规划服务、缴费系统、民生服务以及专项门户等多个方面。具体而言,在线规划申请的查看与评论功能、停车罚款和公交车道违章罚单的在线支付与申诉功能均已中断;出生、死亡、婚姻证明的申请服务,以及垃圾清运日历查询和学校缺勤申报功能也已暂停;此外,Strathclyde养老金会员无法访问SPFOnline门户,登记处预约系统也失效了。目前,议会正在与苏格兰警方以及国家网络安全中心(NCSC)紧密合作,共同调查此次安全事件。议会表示财务系统并未受到此次安全事件的影响,用户的银行账户及信用卡信息也未被盗取。
https://www.infosecurity-magazine.com/news/supply-chain-imperils-glasgow/
6. 伊朗黑客组织Educated Manticore对以色列发动钓鱼攻击
6月26日,伊朗国家支持的黑客组织Educated Manticore被揭露针对以色列记者、网络安全专家及计算机科学教授发起钓鱼攻击。攻击者利用电子邮件和WhatsApp等通讯工具,伪装成技术高管或研究人员的虚构助理,向目标发送伪造的Gmail登录页面或Google Meet邀请链接,诱使目标上当。网络安全公司Check Point指出,此次行动源于代号Educated Manticore的威胁集群,该组织与APT35(含子集群APT42)、CALANQUE、Charming Kitten等十余个知名黑客团体存在重叠,惯用精心设计的社交工程手段实施攻击。攻击初期,攻击者发送的消息不含恶意载荷,而是着力建立与目标的信任。一旦获取信任,便会发送钓鱼链接,导向伪造的登录页面,窃取谷歌账号凭证。这些钓鱼页面不仅能窃取账户凭证,还可捕获双重验证(2FA)码实施中继攻击,并内置被动键盘记录程序。即便受害者中途放弃操作,所有输入内容仍会被窃取。部分攻击还利用Google Sites域名托管伪造会议页面,用户点击页面任意位置就会触发认证流程,大大增加了攻击的隐蔽性和成功率。
https://thehackernews.com/2025/06/iranian-apt35-hackers-targeting-israeli.html
京公网安备11010802024551号