1、Fog勒索软件利用SonicWall VPN漏洞入侵企业网络

https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

最近，Fog和Akira勒索软件团伙通过SonicWall VPN账户，利用CVE-2024-40766漏洞，频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞，并在随后一周警告称该漏洞已被积极利用。最新的报告指出，Akira和Fog勒索软件行动至少进行了30次入侵，这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中，75%与Akira有关，其余的则归因于Fog勒索软件。值得注意的是，这两个威胁团伙似乎共享基础设施，显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞，但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下，从入侵到数据加密的时间很短，通常约为十个小时，最快甚至达到1.5至2小时。许多攻击中，攻击者通过VPN/VPS访问终端，隐藏其真实IP地址。在随后的攻击阶段，威胁者迅速加密，主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件，但攻击者对超过六个月（或更敏感文件超过30个月）的文件不感兴趣。Fog勒索软件于2024年5月推出，通常利用被盗的VPN凭证进行初始访问。

2、研究人员监测到针对SPIP CMS的新攻击

https://cyble.com/blog/cyble-sensors-detect-new-attacks-on-cms-iot-exploits-continue/

研究人员近期报告了针对开源SPIP内容管理系统的新一轮网络攻击，同时，物联网设备及其他漏洞的利用活动也在持续进行。根据研究人员的每周传感器情报报告，活跃攻击活动涉及多个已知漏洞，其中包括新发现的针对SPIP CMS的攻击。此漏洞存在于SPIP版本4.3.2、4.2.16和4.1.18之前，具体为CVE-2024-8517的命令注入问题。攻击者可以通过发送特制的多部分文件上传HTTP请求，远程执行任意操作系统命令。此外，报告指出，针对PHP、Linux系统以及Java和Python框架的已知漏洞的攻击活动仍在持续。物联网设备和嵌入式系统中的旧漏洞也以惊人的速度被利用。

3、AWS CDK漏洞可能导致用户账户被接管

https://www.aquasec.com/blog/aws-cdk-risk-exploiting-a-missing-s3-bucket-allowed-account-takeover/

近期，研究人员披露了影响亚马逊网络服务（AWS）Cloud Development Kit（CDK）的安全漏洞，该漏洞在特定情况下可能导致账户接管。研究人员指出，攻击者在某些情况下可能获得目标AWS账户的管理访问权限，从而实现完全控制。该问题于2024年6月27日被负责任地披露，并在2024年7月发布的CDK版本2.149.0中得到修复。该漏洞与AWS的“影子资源”相关，利用了AWS简单存储服务（S3）桶的预定义命名约定。AWS CDK的引导过程会创建包括S3桶、Amazon Elastic Container Registry（ECR）和IAM角色在内的资源，而这些IAM角色的命名模式使得猜测桶名变得简单。当用户未自定义引导时，S3桶名的默认值“hnb659fds”使得攻击者可以通过已知的AWS账户ID和区域轻松预测桶名，从而实施S3桶名称抢注攻击。如果攻击者成功创建了与受害者CDK先前使用的桶相同名称的桶，他们可能会获得读取和写入数据的权限，从而篡改CloudFormation模板，执行恶意操作。研究人员指出，CloudFormation的部署角色默认具有管理员权限，这使得攻击者能够在受害者的AWS账户中创建特权资源。

4、四名REvil勒索软件成员在俄被判刑

https://www.kommersant.ru/doc/7263987

四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁，此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨（Artem Zaets）、阿列克谢·马洛泽莫夫（Alexei Malozemov）、达尼尔·普齐列夫斯基（Daniil Puzyrevsky）和鲁斯兰·汉斯维亚罗夫（Ruslan Khansvyarov）。他们因非法支付处理被定罪，普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道，圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决，扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁，而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的，该组织的领导人与针对外国科技公司的网络攻击有关。

5、LinkedIn平台违反了多项GDPR原则被罚3.1 亿欧元

https://thecyberexpress.com/linkedin-fined-310-million-by-irish-dpc/

近日， DPC公开表示，LinkedIn 平台违反了多项 GDPR 原则，决议对 LinkedIn 处以 3.1 亿欧元（约23.8亿人民币）的罚款，引发了人们对公司如何处理用户数据的广泛关注。

6、Pwn2Own大会：三星Galaxy S24的漏洞被利用

https://securityaffairs.com/170221/hacking/pwn2own-ireland-2024-day-two.html

NCC集团的安全人员Ken Gannon在Pwn2Own大会现场展示，他通过链接五个漏洞成功黑入了一台三星Galaxy S24设备，并获取了shell以及安装了一个应用程序。

7、Google Play上超过 200 个恶意应用被下载了数百万次

https://www.4hou.com/posts/VW59

Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序，累计下载量接近 800 万次

8、《2024年微软数字防御报告》全球每天网络攻击超6亿次

https://www.freebuf.com/news/413704.html

《2024年微软数字防御报告》揭示了一个复杂的全球网络安全格局，每天发生超过6亿次网络攻击。报告强调了勒索软件、网络钓鱼和身份泄露事件的增加，以及网络犯罪团伙和国家行为者之间的合作。

9、俄罗斯 APT29 模仿 AWS 域窃取 Windows 凭证

https://www.darkreading.com/cyberattacks-data-breaches/russias-apt29-aws-windows-credentials

克里姆林宫情报部门开展了大规模的网络钓鱼活动，这与通常的更有针对性的行动形成鲜明对比。

10、新的 Windows 驱动程序签名绕过允许安装内核rootkit

https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs

攻击者可以降级 Windows 内核组件以绕过驱动程序签名强制等安全功能，并在完全修补的系统上部署 rootkit。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。