首頁 > 安全研究 > 安全通報 > 安全簡訊

DICK‘S 在遭受網絡攻擊后關閉電子郵件并鎖定員工賬戶

發布時間 2024-08-30
1. DICK'S 在遭受網絡攻擊后關閉電子郵件并鎖定員工賬戶


8月28日,美國體育用品零售巨頭迪克體育用品公司(DICK'S)近日遭遇網絡攻擊,導致其機密信息泄露。這家擁有857家門店、年收入達129.8億美元的財富500強企業,在8月21日發現其信息系統被第三方未授權訪問。DICK'S迅速啟動網絡安全響應計劃,并與外部專家合作調查此次事件,同時關閉了電子郵件系統并鎖定所有員工賬戶,以隔離威脅。員工需通過身份驗證才能重新訪問內部系統,商店電話線路也受到影響。盡管公司表示目前運營未受干擾,并已向執法部門報告此違規行為,但具體泄露細節尚未公開。DICK'S在提交給美國證券交易委員會的文件中強調,基于當前掌握的信息,此次事件被認為不構成重大影響,但調查仍在進行中。


https://www.bleepingcomputer.com/news/security/dicks-shuts-down-email-locks-employee-accounts-after-cyberattack/


2. LummaC2新變種利用PowerShell與高級混淆技術竊取數據


8月28日,瑞士網絡安全公司Ontinue近期揭露了LummaC2惡意軟件的一個新變種,其活動顯著增強,對網絡安全構成嚴重威脅。這款變種利用PowerShell進行初步感染,結合混淆技術和進程注入手段,悄無聲息地竊取敏感數據。LummaC2自2022年起便以惡意軟件即服務(MaaS)形式活動,近期更是通過復雜策略升級,如利用破解軟件及YouTube渠道傳播,展現了其高度的適應性和隱蔽性。最新發現的變種中,PowerShell命令經過精心混淆但可解碼,揭示了其下載并執行第二階段AES加密負載的詳細步驟。負載隨后注入Windows合法進程dllhost.exe,以實現遠程控制、數據竊取及持久化感染。該變種還采用IP隱藏、自定義用戶代理等手段,進一步逃避安全檢測。為應對此威脅,Ontinue建議組織加強端點檢測和響應(EDR)部署,實施攻擊面減少(ASR)策略,并關注特定的妥協指標(IOC)以主動防御。


https://hackread.com/lummac2-malware-variant-powershell-obfuscation-steal-data/


3. Mirai僵尸網絡利用AVTECH IP攝像機零日漏洞CVE-2024-7029


8月28日,Akamai的安全情報響應團隊(SIRT)近日警告稱,Mirai僵尸網絡活動正通過利用AVTECH IP攝像機中的新披露零日漏洞CVE-2024-7029迅速蔓延。此RCE漏洞存在于攝像機的“亮度”功能中,允許遠程代碼執行,攻擊者已借此部署了Mirai的變種“Corona”,對關鍵基礎設施構成重大威脅。盡管受影響的攝像頭型號已停產,但其在多個領域的持續使用凸顯了管理遺留設備和未修復漏洞的緊迫性。CISA亦發布報告強調此漏洞的嚴重性及其廣泛影響潛力。值得注意的是,Mirai僵尸網絡不僅利用CVE-2024-7029,還同時瞄準了AVTECH及其他系統中的多個漏洞,展現了其多樣化的攻擊策略。Corona變體的傳播始于2023年底,并在2024年3月達到了活躍高峰。盡管CVE-2024-7029的PoC早在2019年就已公開,正式CVE編號直到2024年8月才發布。鑒于當前無官方補丁可用,Akamai建議立即停用受影響設備作為首要緩解措施。


https://securityonline.info/mirai-botnet-exploits-zero-day-vulnerability-cve-2024-7029-in-avtech-ip-cameras/


4. Perl社區警告:cpanminus工具存在嚴重漏洞CVE-2024-45321


8月28日,Perl 社區近期發布了關于CVE-2024-45321的緊急安全公告,指出廣泛使用的App::cpanminus(cpanm)工具存在嚴重漏洞,其CVSS評分高達9.8。此漏洞源于cpanminus默認使用不安全的HTTP連接從CPAN下載Perl模塊,導致“未經完整性檢查的代碼下載”問題(CWE-494),使攻擊者有機會在傳輸中篡改代碼,進而在用戶系統上執行惡意代碼。鑒于cpanminus作為官方CPAN客戶端的輕量級替代品,其漏洞影響范圍可能極為廣泛,尤其威脅到依賴該工具管理Perl模塊的系統安全。盡管官方補丁尚未發布,但用戶應立即采取行動降低風險。推薦措施包括:一是通過命令行參數或環境變量設置HTTPS鏡像,但需注意此舉可能限制對舊版本和開發版本的訪問;二是直接修改cpanm可執行文件,將所有HTTP端點替換為HTTPS,以保留對BackPan等資源的訪問;三是轉而使用默認支持HTTPS連接的備用客戶端,如CPAN.pm 2.35+或App::cpm,以確保模塊下載的安全性。


https://securityonline.info/critical-cve-2024-45321-flaw-in-popular-perl-module-installer-cpanminus-no-patch-available/


5. 威脅者利用偽造的Palo Alto GlobalProtect工具瞄準中東


8月29日,趨勢科技研究團隊揭露了一項針對中東組織的高度復雜惡意軟件活動,該活動通過偽裝成合法的Palo Alto GlobalProtect VPN客戶端進行傳播。攻擊始于一個名為“setup.exe”的惡意文件,該文件模擬VPN安裝程序,在受害者系統中部署虛假組件,并借助新注冊的“sharjahconnect”域名偽裝成合法VPN門戶,以增強欺騙性。此惡意軟件利用Interactsh項目進行信標操作,通過DNS請求與C&C服務器通信,以監控感染進程并執行多種惡意任務,包括執行PowerShell腳本、管理進程、數據竊取與加密通信。其靈活的命令結構使其能夠靈活應對不同攻擊需求,同時采用復雜規避技術以逃避檢測。中東及全球組織面臨嚴峻挑戰,需強化端點保護、更新安全協議,并加強員工安全教育與意識提升,以有效抵御此類高級威脅。


https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html


6. 美超130家企業遭釣魚攻擊,GRIT揭露復雜VPN釣魚騙局


8月29日,GuidePoint Research和Intelligence Team(GRIT)近期揭露了一項針對英語使用者,特別是美國超過130家企業的復雜釣魚攻擊活動。自2024年6月26日起,攻擊者注冊了與目標公司VPN服務相似的高仿域名,并通過電話冒充IT支持人員,以解決VPN登錄問題為由,誘導員工點擊含有惡意鏈接的短信。這些鏈接導向精心設計的假VPN登錄頁面,不僅外觀上與真實頁面無異,還包含特制的VPN組選項,如“TestVPN”和“RemoteVPN”,以增強欺騙性。即便面對多因素認證(MFA),攻擊者也能通過誘導用戶批準推送通知來繞過安全防線,最終騙取用戶憑證。得手后,用戶會被重定向至合法VPN頁面,并可能被要求再次登錄,從而強化問題已解決的假象。一旦獲得VPN訪問權,攻擊者隨即展開網絡掃描,尋找橫向移動、持久化及權限提升的機會??赡苁艿骄W絡釣魚攻擊影響的用戶應檢查其日志,查看過去 30 天內來自 VPN 分配 IP 地址的可疑活動。


https://cybernews.com/news/us-vpn-phishing-attack/

上一篇 下一篇