首頁 > 安全研究 > 安全通報 > 安全簡訊

新的Linux惡意軟件sedexp使用Udev規則隱藏信用卡盜刷器

發布時間 2024-08-27

1. 新的Linux惡意軟件sedexp使用Udev規則隱藏信用卡盜刷器


8月25日,網絡安全研究人員發現了一種名為sedexp的新型Linux惡意軟件,它由尋求經濟利益的威脅行為者設計,采用了一種獨特的策略以實現長期潛伏和隱秘攻擊。自2022年起,該高級威脅便隱匿于網絡空間,為攻擊者提供了反向shell通道和卓越的隱蔽手段。其核心特色在于利用udev規則來維持其在系統內的持久性,這是通過監測系統核心資源如/dev/random的加載來實現,每當系統重啟時即自動激活惡意程序。sedexp通過udev的復雜配置,能夠在不被察覺的情況下執行惡意操作,并巧妙地修改系統內存,隱藏含有其標識“sedexp”的文件,有效規避了常規檢測工具如ls和find的偵查。更為狡猾的是,它已被觀察到用于在服務器上隱秘部署信用卡數據竊取代碼,凸顯了其明確的經濟利益導向。Stroz Friedberg事件響應團隊指出,在已調查案例中,sedexp不僅隱藏了Web Shell和修改過的Apache配置文件,還自行修改了udev規則,形成了一個閉環的隱蔽系統。這一發現揭示了除勒索軟件外,以經濟為目的的網絡攻擊手段正日益復雜化。


https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html


2. 流行Python庫Pandas曝安全漏洞CVE-2024-42992


8月25日,廣泛使用的 Python 庫pandas中發現了一個安全漏洞CVE-2024-42992,該漏洞波及所有版本直至最新的2.2.2,其CVSS評分高達7.5,凸顯了用戶面臨的重大風險。鑒于pandas下載量已超5400萬次,成為數據處理與分析的核心工具,這一發現尤為令人擔憂。此漏洞為任意文件讀取漏洞,能讓攻擊者無限制地訪問系統內的任意文件,包括敏感如Unix系統用戶賬戶信息的“/etc/passwd”文件。其根源在于pandas在處理文件路徑輸入時缺乏必要的限制,使得惡意用戶能指定任意路徑以竊取敏感數據。該漏洞在多個在線環境中易于復現,且其概念驗證代碼已在GitHub上公開,顯著增加了被惡意利用的風險。鑒于pandas的廣泛應用,此漏洞對系統機密性和完整性構成了嚴重威脅,數據泄露和敏感信息未經授權訪問的風險驟增。面對尚無官方補丁的現狀,用戶需立即采取預防措施,如限制在敏感環境中使用pandas,并加強系統監控與安全措施,以檢測和防御潛在攻擊。


https://securityonline.info/critical-flaw-discovered-in-popular-python-library-pandas-no-patch-available-for-cve-2024-42992/


3. Cheana Stealer發起跨平臺VPN釣魚攻擊,竊取用戶敏感數據


8月25日,Cyble 研究與情報實驗室 ( CRIL ) 發現的最新威脅Cheana Stealer,該惡意工具通過偽裝成知名VPN服務WarpVPN的網絡釣魚手段,跨平臺攻擊Windows、Linux及macOS用戶。Cheana Stealer利用精心設計的釣魚網站誘騙用戶下載并安裝偽裝成合法VPN軟件的竊取程序,一旦得手,便悄無聲息地收集包括瀏覽器密碼、加密貨幣錢包、SSH密鑰等敏感數據。針對不同操作系統,Cheana Stealer采用不同的技術手段:在Windows上,它利用PowerShell執行惡意腳本;Linux版則通過偽裝Cloudflare Warp VPN的shell腳本實施攻擊;macOS上則利用虛假系統提示竊取Keychain及加密貨幣錢包信息。值得注意的是,該竊取程序的傳播與一個擁有數萬訂閱者的Telegram頻道緊密相關,頻道內頻繁宣傳假冒VPN服務,極大助長了攻擊范圍。CRIL的研究揭示,攻擊者初期提供合法服務以積累信任,隨后轉向惡意活動,通過Telegram等信譽平臺及高度仿真的釣魚網站,成功入侵了多個操作系統平臺的大量用戶系統,凸顯了當前網絡安全挑戰的嚴峻性。


https://securityonline.info/cheana-stealer-targets-vpn-users-across-windows-linux-and-macos-in-sophisticated-phishing-campaign/


4. Mirai僵尸網絡中發現嚴重漏洞CVE-2024-45163


8月25日,安全研究員Jacob Masse揭示了Mirai僵尸網絡中的一個嚴重漏洞CVE-2024-45163(CVSS評分為9.1),該漏洞允許對僵尸網絡的CNC服務器進行遠程DoS攻擊,嚴重威脅到Mirai僵尸網絡的運行。Mirai作為一種臭名昭著的惡意軟件,自2016年起便侵擾物聯網和服務器領域,通過利用弱密碼等漏洞控制大量設備,形成龐大的僵尸網絡,執行DDoS攻擊等惡意活動。Jacob Masse通過深入研究CNC服務器的運作機制,發現了其在處理并發連接請求時的缺陷,特別是在預認證階段。這一漏洞允許攻擊者通過發送大量簡單的身份驗證請求,使CNC服務器資源耗盡并崩潰,從而癱瘓整個僵尸網絡。CVE-2024-45163的披露不僅為執法機構提供了瓦解Mirai僵尸網絡的有力工具,也引發了關于道德使用的討論,因為利用此漏洞可能意外中斷合法測試中的僵尸網絡。Masse通過PoC演示了漏洞的有效性,展示了在有限資源下即可成功關閉CNC服務器的場景。此外,他還公開了漏洞代碼,促進了網絡安全社區的研究與防御工作。


https://securityonline.info/hacking-the-hacker-researcher-found-critical-flaw-cve-2024-45163-in-mirai-botnet/


5. Magento平臺遭網絡攻擊,盜刷程序竊取支付數據


8月25日,眾多采用Magento平臺的在線商店近期遭遇了嚴重網絡攻擊,其支付頁面被植入惡意代碼,導致客戶支付卡數據被非法竊取,包括卡號、有效期及安全碼等重要信息。Malwarebytes專家指出,黑客利用Magento系統漏洞,在支付流程中插入一行腳本,該腳本能遠程加載并執行數據竊取操作。數百家店鋪已確認受侵,黑客通過自建網站收集被盜數據。此類數字盜刷器極其隱蔽,能夠無縫融入正規支付流程,難以被用戶察覺。它們在用戶輸入支付信息時即時捕獲并轉發至黑客服務器,甚至在某些情況下,能夠繞過第三方支付處理流程直接攔截數據。幸運的是,安全專家已攔截超過1,100次數據竊取嘗試,通過識別并封鎖數十個惡意域名有效遏制了部分攻擊。然而,受影響的店鋪雖已采取刪除惡意代碼或暫停運營等措施,但部分網站仍面臨持續威脅。此外,數據泄露不僅限于財務信息,還涉及用戶的電子郵件、住址及電話號碼等個人隱私。因此,用戶若發現異常,應立即聯系銀行更換卡片,并考慮啟用身份保護服務。


https://securityonline.info/cyberattack-on-magento-hackers-inject-skimmer-card-data-stolen/


6. Patelco遭RansomHub勒索軟件攻擊,72.6萬客戶數據泄露


8月26日,Patelco信用合作社是一家資產超90億美元的美國非營利性金融服務機構,近期遭遇嚴重數據泄露事件。今年早些時候,該社受到RansomHub勒索軟件攻擊,盡管當時未立即確認數據泄露,但隨后調查揭示,攻擊者于5月23日潛入網絡,并于6月29日訪問數據庫,竊取了大量客戶個人信息。這些敏感信息包括姓名、社會安全號碼、駕駛執照號碼、出生日期及電子郵件等,與RansomHub團伙在8月15日于其勒索網站上公布的數據一致,該團伙聲稱在談判未果后公開了數據。此次事件波及Patelco的726,000名客戶。為應對此次危機,Patelco已向受影響的客戶發送數據泄露通知,并提供通過Experian注冊兩年免費身份保護和信用監控服務的選項,截止日期為11月19日。同時,該社在其網站顯著位置發布警告,提醒會員警惕網絡釣魚、社會工程及詐騙風險,強調官方絕不會直接索取卡詳情等敏感信息。


https://www.bleepingcomputer.com/news/security/patelco-notifies-726-000-customers-of-ransomware-data-breach/

上一篇 下一篇