1. Mirai僵尸网络利用NVR、TP-Link 路由器中的漏洞
12月24日,一种新的基于Mirai的僵尸网络正在利用尚未收到跟踪器编号且未在DigiEver DS-2105 Pro NVR中修补的远程代码执行漏洞。该活动始于10月,主要针对网络录像机和固件过时的TP-Link路由器。TXOne研究员Ta-Lun Yen去年在DefCamp安全会议上展示了其中一个漏洞,影响了多台DVR设备。Akamai的研究人员观察到,尽管该僵尸网络在11月中旬开始利用此漏洞,但证据表明其活动至少从9月已开始。除了DigiEver漏洞,新的Mirai变种还针对TP-Link的CVE-2023-1389漏洞和Teltonika RUT9XX路由器的CVE-2018-17532漏洞。针对DigiEver NVR的攻击通过远程代码执行缺陷实现,黑客利用未正确验证用户输入的URI注入命令,从而获取恶意软件二进制文件并将设备纳入僵尸网络。一旦设备被攻击,就会用于分布式拒绝服务攻击或传播到其他设备。新的Mirai变种采用XOR和ChaCha20加密,支持多种系统架构。Akamai指出,尽管复杂解密方法不新鲜,但显示Mirai僵尸网络运营商在策略和技术上不断进步。
/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/
2. Clop勒索软件团伙利用Cleo零日漏洞发起新勒索攻势
12月24日,Clop勒索软件团伙近期对其Cleo数据盗窃攻击的受害者发出了勒索通知,要求66家公司在48小时内响应其要求,否则将披露这些公司的全名。Clop通过暗网门户直接联系这些公司,并提供安全聊天频道链接和电子邮件地址进行赎金支付谈判。此次攻击利用了Cleo LexiCom、VLTransfer和Harmony产品中的零日漏洞(CVE-2024-50623),允许远程攻击者执行不受限制的文件上传和下载,导致远程代码执行。Clop过去也曾利用其他平台的零日漏洞访问公司网络。供应商已提供修复程序,但警告称黑客可能利用该修复程序在受感染的网络上打开反向shell。Clop还宣布将删除以前攻击的数据,以专注于新一轮的勒索活动。目前尚不清楚具体有多少公司受到了Clop最新攻击的威胁,但Cleo软件已被全球超过4000家组织使用。
/news/security/clop-ransomware-is-now-extorting-66-cleo-data-theft-victims/
3. Postman Workspaces泄露30000个API密钥和敏感令牌
12月24日,CloudSEK的TRIAD团队发现,因滥用Postman Workspaces,大量敏感数据面临泄露风险。在为期一年的调查中,研究人员发现超过30,000个可公开访问的Postman Workspaces泄露了API密钥、令牌和管理员凭据等敏感信息,涉及GitHub、Slack和Salesforce等平台,影响了包括医疗保健、运动服装和金融服务在内的多个行业。泄露的原因主要包括访问配置错误、纯文本存储以及收藏品的公开共享。CloudSEK指出,这些泄露可能导致数据泄露、未经授权的系统访问以及网络钓鱼和社会工程攻击的增加。为确保数据安全,组织应使用环境变量、轮换令牌、采用秘密管理工具等措施。CloudSEK已向受影响的组织报告了大多数事件,并敦促组织采取更可靠的安全措施。此外,Postman也实施了秘密保护政策,以防止敏感数据在公共工作区中暴露。
/postman-workspaces-leak-api-keys-sensitive-tokens/
4. 欧洲航天局官方商店遭黑客攻击,窃取客户支付信息
12月24日,欧洲航天局的官方网上商店近期遭到黑客攻击,黑客通过加载一段JavaScript代码,在结账时生成一个虚假的Stripe支付页面,从而收集客户信息,包括支付卡数据。欧洲航天局(ESA)的预算超过100亿欧元,其使命是通过培训宇航员以及建造用于探索宇宙奥秘的火箭和卫星来扩展太空活动的极限。该商店目前无法使用,并显示“暂时脱离轨道”的消息。电子商务安全公司Sansec注意到了这一恶意脚本,并警告称该商店似乎与欧洲航天局(ESA)系统集成,可能对员工构成风险。同时,网络应用安全公司Source Defense Research也证实了Sansec的调查结果。在被BleepingComputer询问有关此次入侵的详细信息时,ESA表示该商店并不托管在其基础设施上,也不管理其上的数据。通过whois查询可以确认,该商店的域名和联系数据与ESA的官方域名不同,且联系数据已被删除以保护隐私。
/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/
5. PyPI现恶意Python软件包窃取用户数据
12月24日,Fortinet FortiGuard Lab的AI检测系统近期发现了两个在Python软件包索引(PyPI)上的恶意Python软件包:Zebo-0.1.0和Cometlogger-0.1。这些恶意软件通过键盘记录、截图和信息泄露等手段窃取用户敏感数据,并利用混淆技术逃避检测。Zebo-0.1.0利用pynput和ImageGrab等库记录按键和截取屏幕截图,将敏感信息泄露到远程服务器,并在系统重启时重新执行以确保持久控制。Cometlogger-0.1则专注于信息窃取和持久存在,针对多个社交平台窃取令牌、密码和帐户信息,并采用反虚拟机检测技术和动态文件修改功能。这些恶意软件包对所有可以安装PyPI软件包的平台构成重大隐私和安全风险,防范这些威胁需要断开互联网连接、隔离受感染系统、使用防病毒软件以及在必要时重新格式化系统。PyPI的便利性伴随着风险,开发人员需要保持警惕,避免安装恶意软件包。
/python-malware-zebo-cometlogger-stealing-user-data/
6. 朝鲜黑客攻击DMM Bitcoin,窃取3.08亿美元加密货币
12月24日,朝鲜黑客组织“TraderTraitor”(也被追踪为Jade Sleet、UNC4899和Slow Pisces)在今年5月对日本DMM Bitcoin交易所发起攻击,成功窃取了价值3.08亿美元的加密货币。此次攻击始于3月下旬,黑客伪装成LinkedIn上的合法招聘人员,接触并诱导日本企业加密货币钱包软件公司Ginco的一名员工下载并执行恶意Python代码,进而渗透到Ginco并横向移动到DMM。FBI指出,攻击者利用会话cookie信息冒充受感染员工,获取Ginco未加密通信系统的访问权限,并最终在5月下旬操纵DMM员工的合法交易请求,导致巨额损失。自2022年以来,TraderTraitor一直活跃于区块链领域,使用虚假应用程序进行社会工程攻击,美国当局一直在密切监视其活动。
/news/security/fbi-links-north-korean-hackers-to-308-million-crypto-heist/
[来源: 启明星辰]