美德加联合捣毁四大物联网僵尸网络
发布时间 2026-03-231. 美德加联合捣毁四大物联网僵尸网络
3月20日,美国、德国和加拿大执法部门近日联合采取行动,捣毁了Aisuru、KimWolf、JackSkid和Mossad四大僵尸网络用于感染物联网(IoT)设备的命令控制(C2)基础设施。此次联合执法行动还针对虚拟服务器、互联网域名及其他基础设施,这些设施被四大僵尸网络用于近几个月对全球受害者发起数十万次大规模分布式拒绝服务(DDoS)攻击。美国司法部表示,此次行动旨在破坏与四大僵尸网络相关的通信,防止设备进一步感染,并限制或消除僵尸网络发起未来攻击的能力。法院文件指控,Aisuru僵尸网络发布了超过20万次DDoS攻击命令,KimWolf发布了超过2.5万次,JackSkid发布了超过9万次,Mossad发布了超过1000次。根据美国司法部数据,这些僵尸网络共感染并控制了超过300万台IoT设备,包括网络摄像头、数字视频录像机和WiFi路由器,其中许多设备位于美国。僵尸网络运营者以网络犯罪即服务模式向其他网络罪犯出售访问权限,使其能够发起DDoS攻击,造成数万美元损失和补救成本。
https://www.bleepingcomputer.com/news/security/aisuru-kimwolf-jackskid-and-mossad-botnets-disrupted-in-joint-action/
2. Intoxalock遭网络攻击致全美司机无法启动车辆
3月20日,美国车辆酒精测试仪公司Intoxalock近日遭受网络攻击,导致全美各地司机无法启动车辆。该公司于3月14日在其网站上确认正经历停机,其销售的酒精测试仪设备需安装在车辆点火开关上,被要求提供阴性酒精呼气样本才能启动汽车的用户依赖该设备。Intoxalock发言人Rachael Larson向媒体确认公司遭受网络攻击,并表示已采取措施"暂时暂停部分系统作为预防措施"。公司未透露攻击类型,如是否为勒索软件或数据泄露,也未说明是否收到黑客通信或赎金要求。这些酒精测试仪设备需每隔几个月校准一次,但网络攻击导致Intoxalock无法执行校准。公司表示需要校准设备的客户在启动车辆时可能遇到延迟。在Reddit上发帖的司机表示,如果错过校准,车辆将无法启动,实际上将司机锁在车外。
https://techcrunch.com/2026/03/20/cyberattack-on-vehicle-breathalyzer-company-leaves-drivers-stranded-across-the-us/
3. Oracle发布紧急补丁修复关键远程代码执行漏洞
3月20日,Oracle近日发布带外安全更新,修复身份管理器和Web服务管理器中编号为CVE-2026-21992的关键未认证远程代码执行漏洞。该漏洞CVSSv3.1严重性评分为9.8,影响OracleIdentityManager版本12.2.1.4.0和14.1.2.1.0,以及OracleWebServicesManager版本12.2.1.4.0和14.1.2.1.0。Oracle在昨日发布的安全咨询中强烈建议客户尽快应用补丁。咨询指出,该漏洞可远程利用且无需身份验证,成功利用可能导致远程代码执行。漏洞复杂度低,可通过HTTP远程利用,无需身份验证或用户交互,增加了暴露服务器被利用的风险。OracleIdentityManager用于管理企业内的身份和访问,OracleWebServicesManager为Web服务提供安全和管理控制。这两款产品广泛应用于企业身份认证和访问管理场景,漏洞若被利用可能导致攻击者完全控制受影响系统。
https://www.bleepingcomputer.com/news/security/oracle-pushes-emergency-fix-for-critical-identity-manager-rce-flaw/
4. 加州福斯特城遭勒索攻击暂停公共服务
3月21日,加州福斯特城近日遭受勒索软件攻击,被迫暂停除紧急响应外的所有公共服务。这座位于旧金山湾区、拥有约34,000人口的城市,其城市经理宣布进入紧急状态,以解锁来自外部机构的补充财政支持。城市经理Stefan Chatwin表示:"公众安全是我们的最高优先级,因此我们鼓励社区成员采取最能确保个人信息安全的预防措施。"市政府警告黑客可能已获取公共信息,敦促任何与市政府有业务往来的人员更改个人密码并采取措施保护个人数据。市政府表示911和警察调度等紧急服务"功能正常且未受影响",但福斯特城警察局周五晚间发出通知称,其非紧急热线和紧急直拨线路在暂时中断后"已恢复运行"。由于攻击,市议会会议将仅以现场方式举行,不再通过Zoom提供。
https://therecord.media/california-city-reports-ransomware-attack-la-metro
5. LAPSUS$声称窃取阿斯利康3GB内部数据
3月20日,自称"LAPSUS$"的威胁行为者组织近日声称对涉及阿斯利康(AstraZeneca)的数据泄露事件负责。阿斯利康是全球最大的跨国制药和生物技术公司之一。根据在黑客论坛和该组织官方网站上发布的帖子,攻击者声称访问了员工相关数据集、完整源代码、秘密和访问凭据、云基础设施配置等。帖子包含对.tar.gz格式可下载档案的引用,总数据量约3GB。黑客正试图将数据出售给出价最高者,并分享了样本文件以支持其声称。样本数据分析显示,泄露数据主要分为三类:GitHub相关数据、第三方数据和财务数据。GitHub企业用户数据包含员工姓名、成本中心参考、许可证类型、企业角色和权限、双因素身份验证状态、GitHub用户名和配置文件URL、组织角色等信息。第三方数据似乎跟踪外部合作者的访问请求和入职信息,包含内部用户ID、全名和电子邮件地址、内部团队评论、公司隶属关系、内部系统访问状态。财务数据包含高级别财务统计,标为"所有行业",似乎是公共或通用统计信息,与阿斯利康运营无直接关联。
https://hackread.com/hacker-group-lapsus-astrazeneca-data-breach/
6. Trivy漏洞扫描器遭供应链攻击分发窃密恶意软件
3月21日,知名漏洞扫描器Trivy近日遭受供应链攻击,威胁行为者组织TeamPCP通过官方发布版本和GitHubActions分发凭证窃取恶意软件。此次泄露由安全研究员PaulMcCarty首次披露,警告Trivy0.69.4版本被植入后门,恶意容器镜像和GitHub发布版本被分发给用户。攻击者攻陷了Trivy的GitHub构建流程,将GitHubActions中的entrypoint.sh替换为恶意版本,并在Trivyv0.69.4发布版本中发布被植入后门的二进制文件。攻击者滥用具有仓库写入权限的受损凭据发布恶意发布版本,这些凭据来自3月早些时候的泄露事件,当时凭据从Trivy环境被外泄且未完全控制。威胁行为者强制推送了aquasecurity/trivy-action仓库76个标签中的75个,将其重定向到恶意提交。使用受影响标签的外部工作流会在运行合法Trivy扫描之前自动执行恶意代码,使入侵难以检测。恶意软件收集侦察数据并扫描系统中存储凭证和认证秘密的文件,收集的数据被加密存储在名为tpcp.tar.gz的档案中,外泄至域名扫描.aquasecurtiy[.]org。若外泄失败,恶意软件会在受害者GitHub账户中创建名为tpcp-docs的公共仓库并上传窃取的数据。
https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/
京公网安备11010802024551号