首頁 > 安全研究 > 安全通報 > 安全簡訊

Quad7僵尸網絡瞄準SOHO設備,通信策略更隱秘

發布時間 2024-09-10
1. Quad7僵尸網絡瞄準SOHO設備,通信策略更隱秘


9月9日,Quad7 僵尸網絡近期通過定制惡意軟件攻擊更多SOHO設備,尤其是Zyxel VPN、Ruckus 無線路由器和Axentra媒體服務器,顯示出其不斷進化的運營策略。該網絡不僅針對TP-Link和華碩路由器,還擴展到新的目標,利用不同登錄變體如“xlogin”、“alogin”、“rlogin”和“zylogin”,通過特定端口控制設備。盡管某些新集群如“rlogin”和“zylogin”感染案例相對較少,但潛在威脅不容小覷,可能攜帶針對更廣泛設備的新漏洞。Quad7 的演變還包括技術上的革新,如放棄傳統的SOCKS代理,轉而采用KCP協議和“FsyNet”工具進行UDP通信,以及使用“UPDTAE”后門和HTTP反向shell進行更隱蔽的控制,這些都極大地增加了檢測難度。此外,實驗中的“netd”二進制文件與CJD route2協議的結合,預示著可能開發出更為隱秘的通信機制。面對這一持續演變的威脅,用戶應采取積極防御措施,包括安裝最新固件更新、更改默認管理密碼、禁用不必要的Web管理功能,并在可能的情況下升級至支持長期安全更新的設備型號。


https://www.bleepingcomputer.com/news/security/quad7-botnet-targets-more-soho-and-vpn-routers-media-servers/


2. Highline公立學校因網絡攻擊關閉全學區,學生開學受阻


9月9日,華盛頓州Highline公立學校學區,服務布里恩、得梅因、諾曼底公園、西塔科和白中心社區的34所學校及17,500名學生,近日遭遇網絡攻擊,導致學區技術系統出現未授權活動。為確保學生安全,學區緊急關閉了所有學校并取消了原定于9月9日的所有活動,包括體育和會議,盡管學區中央辦公室仍正常運作。學區迅速行動,隔離關鍵系統,并與第三方及州、聯邦合作伙伴緊密合作,以安全恢復和測試系統。此次突發狀況尤其對學生家庭造成不便,特別是正值幼兒園開學前夕,學區對此深表歉意,并強調學生安全是首要考量。目前,調查工作正在進行中,尚未明確網絡攻擊的具體性質及是否有師生個人信息泄露。Highline學區計劃于周一下午前向教職員工和家長通報后續安排。


https://www.bleepingcomputer.com/news/security/highline-public-schools-closes-schools-following-cyberattack/


3. Predator 間諜軟件行動以新的基礎設施卷土重來


9月9日,在美國對Intellexa聯盟實施制裁后,研究人員發出預警,指出Predator間諜軟件可能通過新基礎設施卷土重來。此前,美國財政部因Intellexa在開發和分發針對美國人的商業間諜軟件中的作用,對其相關個人和實體進行了制裁。Predator以其廣泛的數據竊取和監視功能著稱,曾被用于監視政府官員、記者及政策專家。制裁后,該間諜軟件活動一度減少,但現已在新基礎設施上重新活躍,尤其是在剛果民主共和國和安哥拉等國家持續被使用。Recorded Future指出,Predator的復蘇可能與其改進的基礎設施、增強的匿名操作和逃避檢測能力有關,使得追蹤變得更為困難。盡管攻擊鏈未變,仍依賴“一鍵”和“零點擊”漏洞,但Predator對知名人士如政客、高管、記者和活動家的威脅依舊重大。其高昂的許可費表明,該軟件被用于針對戰略性、高價值目標。這一趨勢引發了歐盟等地區對雇傭間諜軟件濫用的擔憂,尤其是在政治反對派和記者中的使用,已引發對監視合法性和道德性的質疑。隨著監控市場的不斷增長,政府和網絡安全專家需保持高度警惕,以應對復雜惡意軟件和監控工具帶來的挑戰。


https://securityaffairs.com/168222/intelligence/predator-spyware-new-infrastructure.html


4. Slim CD遭黑客入侵,近170萬用戶信用卡及個人數據泄露


9月9日,Slim CD作為為零售、酒店及餐飲等行業提供支付解決方案的服務商,近日公開了一起重大數據泄露事件,該事件波及近170萬用戶,其信用卡及個人敏感信息遭到泄露。黑客在長達近一年的時間里(2023年8月至2024年6月),悄無聲息地侵入了Slim CD的系統。該公司于今年6月15日首次察覺異?;顒?,并追溯發現黑客入侵始于2023年8月17日。盡管入侵時間長,但Slim CD指出,信用卡信息的查看或竊取主要集中在6月14日至15日這兩天。泄露的信息包括用戶的姓名、地址、信用卡號碼及有效期,盡管未包含關鍵的卡驗證號(CVV),但仍增加了信用卡欺詐的風險。Slim CD已加強其安全體系以防范未來類似事件,并建議受影響用戶提高警惕,留意欺詐跡象,并立即向銀行報告任何可疑活動。值得注意的是,受影響的用戶并未獲得免費身份盜竊保護服務。


https://www.bleepingcomputer.com/news/security/payment-gateway-data-breach-affects-17-million-credit-card-owners/


5. RAMBO攻擊利用內存總線無線電信號從隔離系統竊取數據


9月9日,研究人員Mordechai Guri開發出了一種名為RAMBO的新型攻擊技術,該技術利用內存總線產生的無線電信號,成功地從物理和邏輯雙重隔離的系統中遠程竊取數據。該技術允許攻擊者以每秒1,000比特的速度,在最遠7米距離內盜取包括加密密鑰、圖像、按鍵和生物特征信息等在內的敏感數據。通過軟件定義無線電(SDR)硬件和天線,惡意軟件能夠在隔離系統中編碼數據,并將這些編碼后的數據以電磁波的形式輻射出去,進而被遠處的接收設備捕獲并解碼。RAMBO攻擊的核心在于操縱RAM的訪問模式,生成與二進制數據相對應的電磁信號,形成隱蔽通道。這種攻擊方式突破了傳統隔離系統的安全防線,因為即便系統被物理隔離,也無法抵御來自內部惡意軟件的威脅。惡意軟件可通過多種途徑(如感染USB驅動器、內部人員惡意操作或供應鏈攻擊)被植入隔離系統。Mordechai Guri進一步揭示了數據通過RAM傳輸時產生的電磁輻射是泄露的關鍵,這些輻射的頻率與數據寬度、時鐘速度及系統架構緊密相關。通過精確控制內存訪問指令,攻擊者能夠建立電磁隱蔽通道,實現數據的遠程傳輸。針對RAMBO攻擊,研究人員也提出了相應的防御策略和保護措施。


https://www.securityweek.com/new-rambo-attack-allows-air-gapped-data-theft-via-ram-radio-signals/


6. 朝鮮黑客利用LinkedIn誘騙部署COVERTCATCH惡意軟件


9月7日,朝鮮威脅行為者通過LinkedIn平臺對Web3領域的開發人員實施了一系列精心策劃的虛假招聘攻擊,利用社會工程學手段誘騙目標下載并執行惡意軟件。谷歌子公司Mandiant在其最新報告中揭示了這些攻擊的細節,指出攻擊者常以編碼測試為幌子,通過發送包含COVERTCATCH惡意軟件的ZIP文件作為初始感染手段。該惡意軟件旨在感染macOS系統,并通過下載第二階段有效負載建立持久性控制。此類活動屬于朝鮮黑客組織廣泛活動的一部分,如“夢想工作行動”等,它們利用工作誘餌傳播RustBucket、KANDYKORN等惡意軟件。尤為值得關注的是,朝鮮黑客不僅限于社會工程學攻擊,還涉足軟件供應鏈攻擊,如針對3CX和JumpCloud的先例所示。一旦通過惡意軟件獲得立足點,攻擊者會進一步竊取密碼、進行內部偵察,并滲透云環境以盜取加密貨幣資金。FBI也發出警告,指出朝鮮威脅行為者正利用高度定制化的社會工程活動,特別是針對加密貨幣行業,通過偽造個性化招聘或投資機會,企圖為受制裁的朝鮮獲取非法收入。這些攻擊前常伴隨詳盡的受害者背景調查,以增強信任感,提高攻擊成功率。FBI強調,犯罪分子會利用受害者的個人信息或鮮為人知的細節來建立聯系,進而傳播惡意軟件,實現其非法目的。


https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html

上一篇 下一篇