当前位置: 首页 > 行业资讯 > 网络安全日报 2024年10月28日

网络安全日报 2024年10月28日

发表于:2024-10-28 08:51 作者: 合天网安实验室 阅读数(295人)

1、Grandoreiro银行木马采用反检测新手段发起攻击

https://securelist.com/grandoreiro-banking-trojan/114257/

近日,研究人员发现Grandoreiro银行木马的最新变种,具有更强的反检测功能,延续其全球攻击银行用户的趋势。研究人员报告指出,尽管部分成员已被捕,但剩余的操作者持续开发新功能,包括命令与控制域生成算法(DGA)、加密技巧及鼠标追踪功能等。Grandoreiro主要通过网络钓鱼和恶意广告分发,利用假装为驱动程序的大型可执行文件绕过沙箱检测。新版本还能识别多种防病毒和银行安全软件、监控用户活动并实施加密货币转账劫持。Grandoreiro木马的不断演化对银行业构成严峻挑战,尤其在拉美和欧洲地区。

2、LinkedIn上求职者遭遇新型网络钓鱼骗局

https://www.malwarebytes.com/blog/news/2024/10/linkedin-bots-and-spear-phishers-target-job-seekers

近期观察表明,犯罪分子在LinkedIn上利用求职者发布的“#opentowork”等标签,以虚假招聘的方式实施定向网络钓鱼。通过伪造的LinkedIn账号或通过高级InMail功能发送定制化的求职邀请,攻击者以收集敏感信息为目的,使用AI生成的头像和知名公司的名称增加可信度。常见操作包括利用缩短链接诱导受害者访问伪造的工作页面,并在此页面加载Rockstar2FA等钓鱼工具包以窃取Google账号和2FA验证码,进而破坏其他关联账户的安全。

3、Fortinet披露被积极利用的零日漏洞

https://www.runzero.com/blog/how-to-find-fortimanager-instances-on-your-network/

Fortinet日前披露其FortiManager管理平台存在一个被积极利用的零日漏洞(CVE-2024-47575),可使远程攻击者执行任意代码或命令。该漏洞风险评分高达9.8,允许任何设备通过伪造证书轻松连接到FortiManager,并利用自动化脚本窃取关联设备的IP地址、凭证和配置等敏感信息。美国网络安全和基础设施安全局(CISA)已将该漏洞列入已知漏洞目录,要求联邦机构在三周内完成补丁更新或采取缓解措施。Fortinet建议客户更新系统并实施访问控制等缓解措施以防止未授权设备连接,但部分更新尚未发布。

4、黑客窃取3.5亿Hot Topic用户数据索要赎金10万美元

https://www.infostealers.com/article/largest-retail-breach-in-history-350-million-hot-topic-customers-personal-and-payment-data-exposed-as-a-result-of-infostealer-infection/

一名自称“Satanic”的黑客宣称窃取了时尚品牌Hot Topic约3.5亿名客户的数据,包括姓名、邮箱、地址、出生日期以及部分支付信息。此次攻击可能源于零售分析公司Robling员工设备感染恶意软件的事件。虽然攻击者仅掌握信用卡后四位和部分加密信息,但其以2万美元出售数据,或向Hot Topic索要10万美元以撤销出售请求。分析认为,数据泄露风险较低,但Satanic拥有较强的数据窃取能力,可能会诱发定向钓鱼攻击。

5、Pwn2Own中QNAP、Synology等设备曝多项零日漏洞

https://www.bleepingcomputer.com/news/security/qnap-synology-lexmark-devices-hacked-on-pwn2own-day-3/

在2024年Pwn2Own爱尔兰黑客大赛第三日中,白帽黑客们揭露了11个零日漏洞,为奖金池新增12.47万美元,总奖金累计至87.49万美元。当天亮点包括Viettel Cyber Security、DEVCORE团队和PHP Hooligans/Midnight Blue等参赛团队的精彩表现。其中,Viettel的Ha The Long与Ha Anh Hoang利用命令注入漏洞攻破QNAP TS-464 NAS,赢得1万美元;DEVCORE的Pumpkin Chang与Orange Tsai通过CRLF注入、认证绕过和SQL注入成功控制Synology BeeStation,获得2万美元奖励。PHP Hooligans则利用越界写入与内存损坏漏洞在QNAP和Lexmark设备间完成“SOHO Smashup”攻击,赢得2.5万美元。虽然部分漏洞出现“碰撞”导致奖金减少,但此次竞赛揭示了消费设备安全的潜在威胁。

6、Change Healthcare数据泄露事件影响1亿美国人

https://www.bleepingcomputer.com/news/security/unitedhealth-says-data-of-100-million-stolen-in-change-healthcare-breach/

UnitedHealth集团确认,其子公司Change Healthcare因今年2月的勒索软件攻击导致超过1亿人医疗数据被窃,成为近年来最大规模的医疗数据泄露事件。此次攻击由BlackCat(也称ALPHV)勒索团伙实施,利用Change Healthcare的Citrix远程访问服务的凭证漏洞侵入系统,窃取6TB数据,并加密网络中计算机,迫使公司关闭IT系统。虽然UnitedHealth支付了2200万美元赎金以换取解密器并保证数据删除,但攻击者仍保留了部分数据,并通过新团伙RansomHub泄露部分文件,或已导致公司再次支付赎金。截至9月30日,该事件已使UnitedHealth预计损失达24.5亿美元。

7、Cisco修复VPN漏洞并发布多项高危漏洞补丁

https://www.bleepingcomputer.com/news/security/cisco-fixes-vpn-dos-flaw-discovered-in-password-spray-attacks/

Cisco近期修复了在密码喷射攻击中发现的VPN服务拒绝服务漏洞(CVE-2024-20481)。该漏洞影响Cisco ASA和Firepower Threat Defense(FTD)软件,使得攻击者可以通过大量VPN认证请求消耗设备资源,造成RAVPN服务中断。为避免此漏洞的影响,管理员可使用命令检查是否启用SSL VPN服务。此外,Cisco还发布了42个漏洞通告,其中包含三项关键漏洞,包括影响FMC管理界面的命令注入漏洞(CVE-2024-20424)、影响ASA的远程命令注入漏洞(CVE-2024-20329),以及在Firepower设备中存在的静态凭证漏洞(CVE-2024-20412)。Cisco建议用户立即更新软件,并查看日志以排查潜在攻击迹象,确保设备安全。

8、TeamTNT黑客组织发起新一轮云攻击进行加密货币挖矿

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign/

臭名昭著的加密劫持组织TeamTNT正针对云原生环境展开大规模攻击,目标是挖掘加密货币并将入侵的服务器租给第三方。研究人员表示,该组织利用暴露的Docker守护程序部署Sliver恶意软件、网络蠕虫和加密矿工,使用受感染的服务器和Docker Hub作为传播基础设施。TeamTNT不仅利用Docker Hub托管和分发恶意负载,还通过将受害者的计算能力出租以进行非法加密货币挖矿,展现出其多样化的盈利策略。攻击过程中,黑客通过masscan和ZGrab识别未认证的Docker API端点,并利用这些端点部署加密矿工,将受感染的基础设施出售给Mining Rig Rentals平台。TeamTNT还从Tsunami后门转向使用Sliver命令与控制框架来远程控制受感染服务器,并采用匿名DNS指向其网络服务器以保持隐匿。

9、新Windows驱动签名绕过漏洞允许内核Rootkit安装

https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/

攻击者通过降级Windows内核组件,绕过驱动签名强制(DSE),在完全修补的系统上部署Rootkits。研究人员发现并演示了这一攻击手法,该攻击利用Windows Update过程引入过时的、易受攻击的软件组件,而不改变系统的完全修补状态。研究工具Windows Downdate允许定制降级,使系统暴露于已修复的漏洞。攻击者可用此方法加载未签名的内核驱动,绕过安全控制并隐藏恶意活动。尽管内核安全性显著提升,此攻击显示降级组件仍简化了攻击。Leviev称其方法为"ItsNotASecurityBoundary" DSE绕过,借助虚假文件不变性漏洞实现内核特权代码执行。研究展示了攻击者可通过替换关键文件‘ci.dll’绕过DSE保护,甚至在最新的Windows 11系统上实施攻击。微软目前正在开发安全更新以解决这些风险,但尚未发布具体时间表。安全解决方案应监控降级攻击以降低风险。

10、Wi-Fi联盟测试套件发现命令注入漏洞影响路由器安全

https://kb.cert.org/vuls/id/123336

研究人员发现Wi-Fi联盟的测试套件中存在命令注入漏洞(CVE-2024-41992),该漏洞允许未经认证的本地攻击者以提升的权限执行任意代码。CERT协调中心指出,受影响的代码已部署在Arcadyan FMIMG51AX000J路由器上。攻击者可通过发送精心构造的数据包利用此漏洞,在受影响的路由器上以root权限执行任意命令。Wi-Fi测试套件旨在自动化Wi-Fi设备的测试,尽管其开源组件可公开获取,但完整版本仅限会员使用。独立研究人员“fj016”发现并报告了此安全缺陷,并提供了漏洞的概念验证(PoC)利用工具。CERT/CC提醒该套件不适合生产环境使用,但已在商业路由器中被发现。成功利用此漏洞的攻击者可获得对设备的完全管理控制权,可能导致网络服务中断或数据泄露。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。