首頁 > 安全研究 > 安全通報 > 安全簡訊

研究人員發現4萬多個路由器和物聯設備組建的僵尸網絡

發布時間 2024-03-28
1. 研究人員發現4萬多個路由器和物聯設備組建的僵尸網絡


3月26日,該路由器僵尸網絡于 2014 年首次出現,一直在悄悄運行,同時在 2024 年 1 月和 2 月增長到來自 88 個國家的 40000 多個僵尸網絡。這些機器人中的大多數都被用作臭名昭著的、針對網絡犯罪的代理服務的基礎,該服務被稱為 Faceless。Black Lotus Labs 的研究人員表示,他們確定了該組織代理服務的邏輯圖,其中包括 2024 年 3 月第一周開始的一項活動,該活動在不到 72 小時內針對 6000 多個華碩路由器進行了攻擊。研究人員認為,全球范圍內針對報廢物聯網設備的攻擊是故意的,因為它們不再受到制造商的支持,而且已知的安全漏洞也沒有得到修復。


https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/


2. Mispadu銀行木馬擴大影響范圍,瞄準歐洲及其它地區


3月26日,Mispadu 銀行木馬因攻擊拉丁美洲國家而臭名昭著,目前正在積極擴大其目標。形態安全實驗室已發現整個歐洲的 Mispadu 活動激增,標志著威脅范圍發生了令人擔憂的轉變。Mispadu 的最新攻擊不受行業限制。從汽車制造巨頭到處理敏感數據的律師事務所,該木馬給每個依賴在線銀行或敏感登錄憑據的組織帶來風險。墨西哥是 Mispadu 活動最初的溫床,仍然是一個主要目標,但威脅現在遠遠超出了最初的邊界。Mispadu采用多階段攻擊鏈,對其之前的版本進行了巧妙的改進。初始階段涉及分發網絡釣魚電子郵件,每封電子郵件都包含一個偽裝成發票的 PDF。受“查看完整發票”誘惑的受害者會被引導下載 ZIP 文件,從而啟動木馬的滲透過程。


https://securityonline.info/mispadu-banking-trojan-expands-reach-targeting-europe-and-beyond/


3. 勒索軟件 Agenda 的新變種 瞄準 VMware ESXi 服務器


3月27日,Agenda(又名 Qilin 和 Water Galura)于 2022 年首次被發現。它的第一個基于 Golang 的勒索軟件被用于針對各種目標:從加拿大到哥倫比亞和印度尼西亞的醫療保健、制造和教育領域。到 2022 年底,Agenda 的所有者用Rust 重寫了其惡意軟件,Rust對于希望跨操作系統傳播其工作的惡意軟件作者來說是一種有用的語言。通過 Rust 變體,Agenda 能夠危害金融、法律、建筑等領域的組織,主要是在美國,但也在阿根廷、澳大利亞、泰國和其他地方。最近,趨勢科技在野外發現了一種新的 Agenda 勒索軟件變種。這個基于 Rust 的最新版本配備了各種新功能和隱形機制,并將其目標直接瞄準了 VMware vCenter 和 ESXi 服務器。


https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers


4. Giant Tiger 表示客戶數據因第三方違規而泄露


3月25日,折扣零售商 Giant Tiger 表示,其部分客戶的聯系信息在與其使用的第三方供應商相關的“事件”中遭到泄露。這家總部位于渥太華的折扣零售商發言人表示,不會透露供應商的名稱,但表示 Giant Tiger 使用該公司來管理其客戶溝通和互動。該零售商在給客戶的電子郵件中寫道,該零售商于 3 月 4 日首次獲悉該安全事件,并于 3 月 15 日得出結論,客戶信息受到影響。受影響的信息因客戶而異。其中包括訂閱 Giant Tiger 電子郵件的人的姓名和電子郵件地址。一些在線下訂單送貨上門的顧客可能擁有相同的信息以及他們的街道地址。發言人表示,受漏洞影響的客戶數量與每個計劃相關,但沒有給出具體數字。


https://www.cbc.ca/news/business/giant-tiger-customer-data-breach-1.7154572?&web_view=true


5. 德國 1.7萬個 Microsoft Exchange 服務器易受到攻擊


3月26日,德國聯邦信息安全辦公室 (BSI)警告稱,德國大約 45000 臺可以不受限制地從互聯網訪問的 Microsoft Exchange 服務器,大約有 12%已經不再為其提供安全更新”。此外,所有面向互聯網的服務器中約有 25% 運行 Exchange 2016 和 2019,但沒有安裝最新的安全補丁。BSI 擔心攻擊者會通過利用 CVE-2024-21410 來破壞這些服務器,CVE-2024-21410 是一個嚴重的特權提升漏洞,允許攻擊者了解目標用戶的 NTLM 憑據并“中繼”這些憑據,以將自己作為用戶向易受攻擊的 Exchange Server 進行身份驗證。微軟表示,它“已經意識到該漏洞被利用”,并且隨后已將其添加到 CISA 的已知被利用漏洞目錄中。


https://www.helpnetsecurity.com/2024/03/26/vulnerable-microsoft-exchange-servers/


6. 多個 Apple 產品中存在任意代碼執行漏洞


3月26日,多個 Apple 產品中發現了一個漏洞 (CVE-2024-1580),該漏洞可能導致任意代碼執行。成功利用此漏洞可能導致在登錄用戶的上下文中執行任意代碼。根據與用戶關聯的權限,攻擊者可以安裝程序;查看、更改或刪除數據;或創建具有完全用戶權限的新帳戶。與具有管理用戶權限的用戶相比,其帳戶配置為在系統上擁有較少用戶權限的用戶受到的影響可能更小。目前還沒有關于此漏洞被大規模利用的報告。


https://www.cisecurity.org/advisory/a-vulnerability-in-multiple-apple-products-could-allow-for-arbitrary-code-execution_2024-031

上一篇 下一篇