首頁 > 安全研究 > 安全通報 > 安全簡訊

RedTail挖礦利用 Palo Alto Networks 防火墻的漏洞

發布時間 2024-06-03
1. RedTail挖礦利用 Palo Alto Networks 防火墻的漏洞


5月31日,RedTail加密貨幣挖掘惡意軟件背后的威脅行為者將最近披露的影響 Palo Alto Networks 防火墻的安全漏洞添加到其漏洞利用庫中。根據網絡基礎設施和安全公司 Akamai 的研究結果,該惡意軟件不僅在其工具包中增加了 PAN-OS 漏洞,還對其進行了更新,目前已采用了新的反分析技術。Akamai 發現的感染序列利用了 PAN-OS 中現已修補的漏洞CVE-2024-3400(CVSS 評分:10.0),該漏洞可能允許未經身份驗證的攻擊者在防火墻上以 root 權限執行任意代碼。成功利用之后,將執行旨在從外部域檢索和運行 bash shell 腳本的命令,該腳本反過來負責根據 CPU 架構下載 RedTail 有效負載。RedTail 的其他傳播機制涉及利用 TP-Link 路由器(CVE-2023-1389)、ThinkPHP(CVE-2018-20062)、Ivanti Connect Secure(CVE-2023-46805 和 CVE-2024-21887)以及 VMWare Workspace ONE Access 和 Identity Manager(CVE-2022-22954)中已知的安全漏洞。RedTail于 2024 年 1 月首次由安全研究員 Patryk Machowiak 記錄,涉及利用 Log4Shell 漏洞 (CVE-2021-44228) 在基于 Unix 的系統上部署惡意軟件的活動。


https://thehackernews.com/2024/05/redtail-crypto-mining-malware.html


2. Cooler Master 確認數據泄露事件中客戶信息被盜


5月31日,計算機硬件制造商 Cooler Master 確認其于 5 月 19 日遭遇數據泄露,威脅行為者竊取了客戶數據。Cooler Master 是一家知名的計算機硬件制造商,以其冷卻設備、計算機機箱、電源和其他外圍設備而聞名。BleepingComputer昨天報道稱,一個名為“Ghostr”的威脅行為者告訴我們,他們于 5 月 18 日入侵了該公司的 Fanzone 網站并下載了其鏈接的數據庫。Cooler Master 的 Fanzone 網站用于注冊產品保修、申請 RMA 或開立支持票,要求客戶填寫個人數據,例如姓名、電子郵件地址、地址、電話號碼、出生日期和實際地址。Ghostr 表示,在 Fanzone 漏洞發生期間,他們下載了 103 GB 的數據,其中包括超過 500,000 名客戶的客戶信息。威脅行為者還共享了數據樣本,使 BleepingComputer 能夠與違規行為中列出的眾多客戶確認他們的數據是準確的,并且他們最近向 Cooler Master 請求了支持或 RMA。樣本中的其他數據包括產品信息、員工信息以及與供應商的電子郵件信息。威脅者聲稱擁有部分信用卡信息,但 BleepingComputer 在數據樣本中找不到這些數據。


https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/


3. BBC 披露了影響其養老金計劃成員的數據泄露事件


6月1日,BBC 的信息安全團隊已向我們通報了一起數據安全事件,其中部分包含 BBC 養老金計劃成員個人信息的文件被從云存儲服務中復制。這些文件包括一些養老金計劃成員的個人信息,包括姓名、國民保險號、出生日期和家庭住址等詳細信息?!惫鎸懙??!八婕暗臄祿募歉北?,因此對計劃的正常運作沒有影響。該事件未影響養老金計劃門戶網站的運行,用戶可以繼續使用。該事件泄露了約 25,000 名 BBC 養老金計劃成員的個人信息,其中包括現任和前任員工。泄露的數據包括全名、國民保險號、出生日期、性別和家庭住址。這家英國公共服務廣播公司在外部專家的幫助下調查了這一事件,并已采取了額外的安全措施。專家們已經確定了安全漏洞的原因并采取了安全措施。該公司正在通過電子郵件或郵寄方式聯系所有受影響的會員。目前,該公司沒有證據表明受損文件已被濫用。


https://securityaffairs.com/163908/data-breach/bbc-disclosed-data-breach.html


4. FlyingYeti利用WinRAR漏洞進行有針對性的攻擊活動


6月2日,自 2022 年 2 月 24 日俄羅斯入侵烏克蘭以來,各國之間以及全世界之間的緊張局勢一直很嚴重。此次事件后,烏克蘭對未償債務的住戶實施了驅逐和終止公用事業服務的禁令,該禁令將于2024年1月結束。然而,這一特定時期卻被一名名為FlyingYeti的威脅行為者所利用。該威脅行為者利用烏克蘭公民對未償還債務和可能失去住房的焦慮,開展了以債務為主題的網絡釣魚活動,誘騙受害者將惡意軟件文件下載到他們的系統中。該惡意軟件是一種稱為“COOKBOX”的 PowerShell 惡意軟件,它使這些威脅行為者能夠安裝額外的有效載荷并控制受害者的系統。此外,網絡釣魚活動還利用了 GitHub 服務器和 Cloudflare 工作器以及 WinRAR 漏洞(CVE-2023-38831)。lyingYeti 威脅行為者的活動與之前確定的威脅行為者 UAC-0149 有重疊,后者曾在 2023 年秋季使用相同的惡意軟件攻擊烏克蘭國防實體。2024 年 4 月中旬至 5 月中旬期間,據觀察,FlyingYeti 威脅行為者正在對受害者進行偵察活動,這些活動很可能用于原定于復活節期間發起的活動。


https://gbhackers.com/flyingyeti-winrar-vulnerability-malware-attacks/


5. LilacSquid 黑客攻擊 IT 行業以獲取機密數據


6月1日,黑客瞄準 IT 行業,因為這些行業掌握著寶貴的數據、關鍵的基礎設施,并且通??梢栽L問各個領域的敏感信息。入侵 IT 公司可以為黑客提供進行間諜活動、獲取經濟利益以及破壞基本服務的巨大機會。近日,思科Talos網絡安全研究人員發現,LilacSquid黑客一直在積極攻擊IT行業,以獲取機密數據。Talos 確信“LilacSquid” APT 組織至少從 2021 年開始就一直在進行數據竊取活動,成功入侵了亞洲、歐洲和美國的制藥、石油、天然氣和技術行業的目標 初始訪問利用了漏洞和被盜的 RDP 憑據。入侵后,LilacSquid 部署了 MeshAgent 遠程訪問工具、QuasarRAT 的定制“PurpleInk”變體以及 SSF 等開源代理工具,與 Lazarus 和 Andariel 等朝鮮組織的 TTP 重疊。該活動建立了數據泄露的長期訪問權限,先前的供應鏈漏洞凸顯了這種持續、高級威脅的風險。入侵后,他們使用 MeshAgent 等程序進行遠程訪問、使用 SSF 進行安全隧道以及使用定制惡意軟件 InkLoader、PurpleInk RAT 等。


https://gbhackers.com/lilacsquid-hackers-attacking-it-industries/


6. 數百名英國、法國和歐盟政客的信息在網上公布


5月31日,據專注于隱私的解決方案提供商 Proton 稱,數百名英國、法國和歐洲議會政客的電子郵件地址和其他信息可以在暗網市場上找到。作為 Proton 與 Constella Intelligence 合作開展的一項研究的一部分,研究人員在暗網上搜索了近 2,300 個屬于英國、法國和歐洲議會議員的官方政府電子郵件地址??偣灿?918 個電子郵件地址被泄露到網絡犯罪市場,但每個組織受影響的政客比例有所不同。例如,英國議員受到的影響最大,68% 的目標電子郵件地址出現在暗網上。就歐盟議會議員而言,44% 的電子郵件地址被發布在黑客論壇上。只有 18% 的法國議員和參議員的數據被泄露。就英國政客的案例而言,其中包括政府高層和反對派人物,他們的電子郵件地址在暗網上被發現超過 2,100 次。在許多情況下,電子郵件地址在政府網站上是公開的。問題在于,電子郵件地址出現在暗網市場上表明這些地址曾被用來在各種第三方在線服務上建立賬戶,而這些服務在某個時候遭到了黑客攻擊。 


https://www.securityweek.com/information-of-hundreds-of-european-politicians-found-on-dark-web/

上一篇 下一篇