1. MoneyGram遭遇网络攻击,系统中断引发广泛关注
9月24日,汇款巨头MoneyGram自上周五起遭遇系统中断,并确认这是由网络攻击所致。尽管此前公司仅提及“网络中断”,未明确说明原因,直至周一才正式公告网络安全事件是其系统瘫痪的根源。MoneyGram作为全球第二大汇款服务提供商,其服务覆盖200个国家的350,000个网点及线上平台,年交易量超1.2亿笔。此次攻击导致用户无法完成交易或访问资金,网站也无法使用,引发了广泛关注和担忧。公司迅速采取行动,将受影响的系统下线以遏制攻击,并与外部专家和执法部门紧密合作以恢复服务。MoneyGram强调了对事件严重性的认识,并承诺尽快恢复系统正常运行。然而,关于系统恢复的具体时间表尚未公布,暗示攻击可能仍在持续或恢复工作处于初期阶段。尽管攻击类型尚未公开,但长时间的服务中断和连接问题强烈暗示这可能是一起勒索软件攻击。鉴于MoneyGram庞大的用户基础,此次事件若涉及数据泄露,其潜在影响将极为深远。
/news/security/moneygram-confirms-a-cyberattack-is-behind-dayslong-outage/
2. 黑客一周内第三次袭击戴尔,500MB敏感数据遭泄露
9月25日,黑客“grep”再次针对科技巨头戴尔发动攻击,一周内第三次造成数据泄露,此次泄露了约500MB的敏感数据,包括内部文档、图片、测试视频及多重身份验证(MFA)数据。戴尔至今未做出正式回应,而黑客“grep”则公开宣称对此次泄露负责,并暗示所有数据均源自单次入侵,只是策略性地分批曝光。泄露的信息中涵盖了内部票务系统细节、中国基础设施项目文件及安全相关文档,一旦这些敏感信息被不当利用,将对戴尔的运营安全构成严重威胁。2024年 9 月 19 日,“grep”泄露了超过 12,000 名戴尔员工的数据,引发了内部调查。几天后,即 9 月 22 日,更多敏感的内部文件被泄露,据称是戴尔使用 Atlassian 工具时泄露的。截至目前,戴尔尚未确认此次数据泄露的具体影响范围及是否涉及第三方漏洞,一周内发生三起数据泄露事件,人们对戴尔网络安全的担忧与日俱增。
/dell-data-leak-in-week-amid-grep-cyberattacks/
3. 网络安全研究人员警告新型基于Rust的Splinter后利用工具
9月25日,网络安全领域近期发现了一种名为Splinter的新型后利用红队工具,该工具由Palo Alto Networks Unit 42在客户系统中识别并公布。Splinter由Rust语言编写,虽功能不如Cobalt Strike等高级工具全面,但如被滥用,仍对组织安全构成潜在风险。该工具专为红队行动设计,用于识别企业网络中的安全漏洞,但同样存在被恶意利用的风险。目前,尚无证据表明Splinter与具体威胁行为者相关联,且其庞大体积主要归因于包含的Rust库数量。Splinter具备多种功能,如执行Windows命令、远程进程注入、文件上传下载、云服务账户信息收集及自我删除等,这些均通过其配置的C2服务器接收任务实现。此外,近期还曝光了其他几种高级攻击技术,如通过Microsoft Office RPC接口和恶意垫片实现的隐秘代码注入与权限提升,以及利用Thread Name-Calling技术绕过端点保护进行进程注入。这些发现强调了在网络安全领域保持预防和检测能力的重要性,因为犯罪分子会不断采用新技术威胁组织安全。
/2024/09/cybersecurity-researchers-warn-of-new.html
4. 移动网络钓鱼威胁激增,82%钓鱼网站瞄准移动设备
9月25日,随着移动网络钓鱼攻击的激增,超过八成的网络钓鱼网站现已专注于移动设备,增长率显著。安全研究揭示,多数犯罪分子利用HTTPS协议伪装钓鱼网站安全,增加了识别难度,尤其在移动端。全球范围内,恶意软件及企业间谍软件威胁大幅增加,特别是Android平台漏洞上升显著。同时,连接不安全网络的设备激增,医疗保健行业成为移动网络钓鱼攻击的重灾区。专家建议,如医疗保健组织应采用零信任安全模型,结合AI驱动的威胁情报平台以增强防御。此外,加强移动设备管理(MDM)、实施多因素身份验证(MFA)和密码管理策略被视为关键防御措施。定期进行员工安全培训、漏洞扫描、风险评估及安全审计也必不可少。针对侧载应用程序的安全风险,专家强调其绕过官方审查可能带来的危害,并建议企业制定严格政策限制侧载应用安装,通过MDM系统控制应用权限,并教育员工识别相关风险。
/2024/09/mobile-phishing-attacks-explode-enterprise-devices-targeted/
5. RAISECOM Gateway严重漏洞CVE-2024-7120被积极利用
9月25日,RAISECOM Gateway设备近期曝光的CVE-2024-7120漏洞,以其极高的CVSS评分9.8,成为企业安全领域的一大隐忧。此漏洞允许远程攻击者通过受影响的Web界面list_base_config.php脚本执行任意命令,直接威胁到版本3.90的MSG1200、MSG2100E、MSG2200及MSG2300型号设备的安全,可能导致严重的数据泄露和系统被非法入侵。安全界已确认该漏洞易于被恶意利用,且自9月初起,攻击活动频繁,于9月12日至13日达到高峰,显示出威胁行为者的积极态势。面对这一紧急状况,尽管RAISECOM尚未发布官方补丁,但企业应立即采取措施降低风险。首要任务是严格限制对设备Web界面的访问权限,仅允许受信任的网络和授权人员接入。同时,加强Web界面的输入验证机制,实施严格的清理程序,以抵御命令注入攻击。此外,部署高效的网络监控和入侵检测系统,实时监控网络活动,及时发现并应对任何可疑行为,也是至关重要的防护措施。
https://securityonline.info/critical-flaw-in-raisecom-gateways-actively-exploited-exposing-thousands-to-remote-attacks/
6. Docker与Kubernetes遭新型加密货币挖掘恶意软件攻击
9月25日,Datadog Security Research揭露了一项针对Docker和Kubernetes环境的复杂恶意软件活动,该活动利用容器编排技术中的安全漏洞,特别是暴露在互联网上且未设置适当身份验证的Docker API端点,进行大规模加密货币挖掘。攻击者通过扫描工具识别易受攻击的容器,部署XMRig挖掘软件,并利用初始化脚本下载额外负载、安装数据传输工具和进程隐藏程序,以增强隐蔽性和传播能力。此恶意软件不仅限于单一Docker实例,还通过横向移动技术如kube.lateral.sh等脚本,在云基础设施中广泛传播,特别是针对Kubernetes集群,利用Kubelet API部署更多挖掘容器,扩大攻击范围。此外,攻击者还利用Docker Hub发布恶意镜像,并通过操纵Docker Swarm环境,将受感染主机纳入僵尸网络,实现集中控制。该活动凸显了云环境中配置错误,特别是未保护Docker API端点的严重风险。攻击者利用这些漏洞,以极小的干扰在云基础设施中迅速扩散,形成大规模的分布式加密挖掘网络,为自身谋取利益。为应对此类威胁,云管理员需立即采取行动,加强安全配置。
https://securityonline.info/new-malware-campaign-mines-crypto-in-docker-kubernetes/
[来源: 启明星辰]