首頁 > 安全研究 > 安全通報 > 安全簡訊

黑客利用 Aiohttp 漏洞尋找易受攻擊的目標

發布時間 2024-03-18
1. 黑客利用 Aiohttp 漏洞尋找易受攻擊的目標


3月16日,勒索軟件攻擊者“ShadowSyndicate”正在掃描易受 CVE-2024-23334(aiohttp Python 庫中的目錄遍歷漏洞)影響的服務器。Aiohttp 是一個構建在 Python 異步 I/O 框架 Asyncio 之上的開源庫,用于處理大量并發 HTTP 請求,而無需傳統的基于線程的網絡。2024 年 1 月 28 日,aiohttp 發布了 版本 3.9.2,解決了 CVE-2024-23334,這是一個嚴重的路徑遍歷漏洞,影響 3.9.1 及更早版本的所有 aiohttp 版本,允許未經身份驗證的遠程攻擊者訪問易受攻擊的服務器上的文件。該缺陷是由于當靜態路由的“follow_symlinks”設置為“True”時驗證不充分,從而允許未經授權訪問服務器靜態根目錄之外的文件。ShadowSyndicate 是一個機會主義、 經濟動機的威脅行為者,自 2022 年 7 月以來一直活躍,與 Quantum、Nokoyawa、BlackCat/ALPHV、Clop、Royal、Cactus 和 Play 等勒索軟件菌株有不同程度的信任。Group-IB 認為威脅行為者是與多個勒索軟件運營機構合作的附屬機構。


https://www.bleepingcomputer.com/news/security/hackers-exploit-aiohttp-bug-to-find-vulnerable-networks/


2. 法國 TRAVAIL 數據泄露影響 4300 萬人


3月16日,法國網絡犯罪預防計劃進行的調查顯示,威脅行為者在 2024 年 2 月 6 日至 3 月 5 日期間竊取了 4300 萬人的個人信息。2023 年 8 月,法國政府就業機構 P?le emploi遭遇數據泄露,并通知了受安全漏洞影響的 1000 萬人。此次安全漏洞暴露了受影響個人的姓氏、名字和社會安全號碼。電子郵件地址、電話號碼、密碼和財務數據不會被泄露。該機構建議求職者對任何潛在的欺詐活動保持警惕,該機構還補充說,該機構提供的補償和支持以及訪問 polo-emploi.fr的個人空間不存在任何風險。法國當局并未將這次攻擊歸咎于已知的勒索軟件團伙,不過,Bleeping Computer 觀察 到,安全公司Emsisoft 在其 MOVEit頁面上列出了該法國政府機構 ,這意味著它很可能是Clop 勒索軟件團伙 的受害者。


https://securityaffairs.com/160556/data-breach/france-travail-data-breach-34m-people.html


3. 黑客聲稱已經攻破 Viber并竊取了 740GB 數據


3月16日,Handala Hack 在 Telegram 帖子中聲稱他們竊取了超過 740GB 的數據,其中包括 Viber 的源代碼。該組織要求為被盜信息支付 8 比特幣(即 583,000 美元)的贖金。Viber 是一款消息應用程序,于 2010 年推出,并于 2014 年被日本跨國公司樂天公司以 9 億美元收購,該應用程序已對黑客的指控做出了回應。該公司否認有任何入侵其系統或數據泄露的證據,但確認已啟動調查以核實是否發生安全漏洞。如果得到證實,這可能是近代歷史上最大的數據泄露事件之一。專家認為,這種泄露可能涉及個人消息、通話記錄、聯系方式和財務信息,可能會對 Viber 用戶造成毀滅性打擊。Handala Hack 是一個有爭議的組織,以支持巴勒斯坦事業的以色列實體及其盟友為目標而聞名。自 2023 年 12 月建立 Telegram 頻道并隨后加入違規論壇以來,它一直很活躍。與此同時,Viber 用戶應謹慎行事并更改密碼,警惕網絡釣魚嘗試,并通過檢查 Viber 的官方渠道隨時了解有關涉嫌數據泄露的任何更新。


https://www.hackread.com/hackers-claim-740gb-of-data-viber-messaging-app/


4. 黑客利用 GitHub 上的破解軟件傳播 RisePro


3月16日,網絡安全研究人員發現許多 GitHub 存儲庫提供破解軟件,這些軟件用于傳播名為 RisePro 的信息竊取程序。據 G DATA 稱,該活動代號為gitgub ,包括與 11 個不同賬戶相關的 17 個存儲庫。此后,相關存儲庫已被微軟旗下子公司刪除。Github 上通常使用綠色和紅色圓圈來顯示自動構建的狀態。Gitgub 威脅參與者在他們的 README.md 中添加了四個綠色 Unicode 圓圈,假裝在當前日期旁邊顯示狀態,并提供合法性和新近度的感覺。RAR 存檔要求受害者提供存儲庫 README.md 文件中提到的密碼,其中包含一個安裝程序文件,該文件解壓下一階段的有效負載,這是一個膨脹到 699 MB 的可執行文件,旨在使分析工具崩潰,例如IDA 專業版。該文件的實際內容(總計僅為 3.43 MB)充當加載程序,將 RisePro(版本 1.6)注入 AppLaunch.exe 或 RegAsm.exe 中。RisePro 在 2022 年底突然成為人們關注的焦點,當時它使用名為 PrivateLoader 的按安裝付費 (PPI) 惡意軟件下載服務進行分發。


https://thehackernews.com/2024/03/hackers-using-cracked-software-on.html


5. 黑客通過武器化 PDF 誘騙用戶安裝惡意軟件


3月16日,在一場復雜的網絡攻擊活動中,惡意行為者冒充哥倫比亞政府機構,針對拉丁美洲各地的個人進行攻擊。攻擊者分發包含 PDF 附件的電子郵件,錯誤地指控收件人違反交通規則或其他違法行為。這些欺騙性通信旨在強迫受害者下載包含 VBS 腳本的存檔,從而啟動多階段感染過程。執行后,經過混淆的 VBS 腳本會觸發 PowerShell 腳本,通過兩步請求過程從合法在線存儲服務中檢索最終的惡意軟件負載。根據 ANY.RUN 與 GBHackers 分享的安全報告;最初,腳本從 textbin.net 等資源獲取有效負載的地址。然后,它繼續從提供的地址下載并執行有效負載,該有效負載可以托管在各種平臺上,包括 cdn.discordapp(.)com、pasteio(.)com、hidrive.ionos.com 和 wtools.io。攻擊者的執行鏈遵循從 PDF 到 ZIP,然后到 VBS 和 PowerShell,最后到可執行文件 (EXE) 的順序。最終的有效負載被識別為幾種已知的遠程訪問木馬 (RAT) 之一,特別是AsyncRAT、njRAT或Remcos。這些惡意程序因其能夠對受感染系統提供未經授權的遠程訪問而臭名昭著,給受害者的隱私和數據安全帶來重大風險。


https://gbhackers.com/hackers-trick-users-to-install-malware-via-weaponized-pdf/


6. TikTok被意大利監管機構罰款近1100萬美元


3月16日,根據該國競爭管理局 (AGCM) 的一份新聞稿,意大利當局周四對 TikTok 處以 1090 萬美元罰款,原因是其助長了可能損害用戶“心理人身安全”的視頻傳播。這筆罰款是經過一年調查的結果,一天前美國眾議院投票決定有效禁止該平臺,國會議員要求該平臺字節跳動撤資,否則將被禁止在美國運營。AGCM 特別關注該平臺如何對未成年人和弱勢群體產生負面影響,表示對該平臺算法的調查部分是為了回應在該應用程序上瘋傳的所謂“法國疤痕”挑戰。該挑戰要求應用程序用戶分享面部疤痕的視頻,導致許多人皮膚受傷參與其中。此外,AGCM 表示,該平臺的指導方針是不夠的,并指出,這些指導方針的應用“沒有充分考慮到青少年的具體脆弱性,其特點是特殊的認知機制。歐盟委員會上個月宣布,已啟動調查,以確定 TiKTok 是否因未能驗證用戶年齡、保護用戶隱私和防止用戶沉迷該應用而違反了歐洲大陸的數字服務法 (DSA)。該調查的重點還在于該平臺是否通過不透明的廣告行為以及未能保護未成年人而違反了 DSA。


https://therecord.media/tiktok-italy-fine-regulator

上一篇 下一篇