首頁 > 安全研究 > 安全通報 > 安全簡訊

Marko Polo黑客組織:全球數萬設備遭大規模網絡攻擊

發布時間 2024-09-20
1. Marko Polo黑客組織:全球數萬設備遭大規模網絡攻擊


9月19日,Recorded Future 及其子公司 Insikt Group 揭示了由黑客組織 Marko Polo 策劃的大規模網絡攻擊,該組織以加密貨幣欺詐和在線游戲詐騙聞名,其活動波及全球數萬設備。Marko Polo 精準鎖定知名游戲玩家、加密貨幣影響者及 IT 專業人士,利用社交媒體偽裝招聘人員,誘騙受害者下載惡意軟件。該團伙被喻為金錢驅動的“販毒團伙”,成員橫跨俄羅斯、烏克蘭及英語國家,領導層疑似位于后蘇聯地區。其手法多樣,不僅入侵 Zoom 視頻會議軟件版本,還滲透商業軟件、BitTorrent 文件分發系統,偽裝成各類熱門應用和游戲,如 PartyWorld 模仿 Fortnite,實則下載信息竊取程序。Nortex 活動則通過假 Web3 項目 SendingMe 傳播木馬。Marko Polo 攻擊已致大量個人與公司數據泄露,非法獲利數百萬美元,受害者甚至失去全部積蓄。該組織靈活多變,頻繁調整策略以規避檢測,持續威脅網絡安全,并預示其將不斷升級手法以超越現有防護體系。


https://securityonline.info/unmasking-marko-polo-the-infostealer-gang-targeting-thousands/


2. CISA警告Apache HugeGraph-Server漏洞遭積極利用


9月19日,美國網絡安全和基礎設施局(CISA)緊急更新了其已知利用漏洞(KEV)目錄,其中最為嚴重的是Apache HugeGraph-Server的遠程代碼執行(RCE)漏洞(CVE-2024-27348),其CVSS v3.1評分高達9.8,表明其潛在危害極大。此漏洞源于不當的訪問控制,影響Apache HugeGraph-Server 1.0.0至1.2.x版本,但1.3.0版本已發布修復。Apache官方于4月22日發布了1.3.0版本以應對此安全威脅,并建議用戶升級至最新版本,同時啟用Java 11和Auth系統以增強安全性。此外,為進一步提升RESTful-API的安全性,啟用“白名單IP/端口”功能也被視為重要措施之一,以阻斷潛在的攻擊路徑。鑒于CVE-2024-27348已在野外被積極利用,CISA向聯邦機構及關鍵基礎設施組織發出警告,要求這些組織務必在2024年10月9日前采取必要的緩解措施或停止使用受影響的HugeGraph-Server版本。Apache HugeGraph-Server作為開源圖形數據庫的核心組件,廣泛應用于電信、金融服務和社交網絡等領域,迅速應用安全更新和采取緩解措施對于保護用戶數據和系統安全至關重要。


https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/


3. Vice Society利用勒索軟件攻擊美國醫療保健行業


9月20日,Inc勒索軟件近期在美國醫療保健領域興起,成為新的威脅焦點。微軟威脅情報中心(MSTIC)揭示,自2022年7月以來一直活躍的Vice Society(或稱Vanilla Tempest)組織,現采用Inc勒索軟件作為其攻擊武器之一,擴大了其雙重勒索策略的范圍。該組織利用多種勒索軟件家族,包括Inc、BlackCat等,針對包括醫療保健在內的多個行業進行攻擊。Vice Society通過感染Gootloader后門程序等初步手段獲得訪問權限,隨后利用Supper后門、AnyDesk遠程管理工具及MEGA數據同步工具等合法商業產品進行橫向移動,最終投放Inc勒索軟件。該組織精心策劃的談判策略和結構化的操作方式,使得其勒索活動更為專業和難以應對。因此,加強醫療保健組織的安全防御,及時應用安全更新和緩解措施,對于防范此類勒索軟件攻擊至關重要。


https://www.darkreading.com/threat-intelligence/vice-society-inc-ransomware-healthcare-attack


4. 戴爾10,863份員工記錄遭黑客泄露


9月19日,黑客“grep”在黑客論壇Breach Forums上聲稱,科技巨頭戴爾遭遇了“輕微”數據泄露,涉及10,863份員工記錄。此次泄露的數據包括員工的全名、ID、活躍狀態、DNO及內部ID等敏感信息,盡管未包含明文密碼或個人身份信息(PII),但仍對戴爾構成重大安全威脅。戴爾此次事件并非孤例,今年早些時候也曾曝出另一起涉及4900萬條客戶記錄的數據泄露。這再次凸顯了大型科技公司面臨的持續網絡安全挑戰。盡管戴爾尚未正式確認此次員工記錄泄露事件,但安全專家警告稱,泄露的信息可能被用于策劃更有針對性的網絡攻擊。組織需加強安全措施,包括采用先進的威脅檢測系統和定期進行安全審計,以保護敏感數據和員工信息。同時,及時響應事件并與受影響人員保持透明溝通,對于減輕潛在損害至關重要。這一系列事件強調了網絡安全防護的迫切性和復雜性。


https://hackread.com/hacker-dell-data-breach-employee-details-leak/


5. FOUNDATION會計軟件遭滲透攻擊,建筑行業面臨新威脅


9月19日,Huntress 網絡安全公司最新揭露,建筑行業正面臨來自威脅行為者的新一波攻擊,這些攻擊者通過滲透 FOUNDATION 會計軟件實施。攻擊者利用軟件的默認憑證,通過大規模暴力破解手段輕易獲取訪問權限。受影響的子行業廣泛,包括管道、暖通空調、混凝土等關鍵領域。FOUNDATION 軟件依賴 Microsoft SQL 服務器,并可能開放 TCP 端口 4243 以支持移動應用直接訪問數據庫,這為攻擊者提供了可乘之機。尤為嚴重的是,該軟件內置的“sa”和“dba”高權限賬戶常保留默認密碼,使得攻擊者能輕易利用 xp_cmdshell 擴展存儲過程執行任意操作系統命令,從而完全控制受影響的系統。自2024年9月14日首次發現以來,Huntress 監測到對 MS SQL 服務器的暴力登錄嘗試高達35,000次,成功暴露了其保護的500臺運行 FOUNDATION 軟件主機中的33臺。為應對此威脅,Huntress 建議立即輪換默認賬戶密碼,限制應用程序對互聯網的公開訪問,并在必要時禁用 xp_cmdshell 功能,以有效減輕潛在風險,保護建筑行業的網絡安全。


https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html


6. 加密貨幣劫持團伙TeamTNT卷土重來


9月19日,盡管TeamTNT組織在2022年被認為已消失,但安全研究領域的最新發現揭示了該威脅行為者在2023年仍在活動的跡象。TeamTNT以其加密劫持攻擊聞名,通過利用受害者的IT資源非法挖掘加密貨幣。自2019年首次露面以來,該組織就因其復雜的Shell腳本和惡意二進制文件工具包制作的惡意軟件而臭名昭著。最新報告指出,TeamTNT的戰術、技術和程序(TTP)與去年活動相似,且已影響基于CentOS操作系統的VPS云基礎設施。據Group-IB分析,TeamTNT通過SSH暴力攻擊進入受害者系統,上傳并執行惡意腳本,該腳本不僅檢查主機是否已被其他礦工入侵,還禁用安全功能、刪除日志、修改系統文件,并終止現有加密貨幣挖掘進程。更進一步,該腳本安裝Diamorphine rootkit以實現隱身和獲取root權限,并使用定制工具保持對系統的持久控制。其策略包括修改文件屬性、創建后門用戶賬戶及清除命令歷史,以全面隱藏活動痕跡。此次發現凸顯了TeamTNT在自動化攻擊領域的高超技藝,其攻擊策略從初始入侵到防止恢復嘗試的每個環節都經過精心設計,旨在給受害者帶來嚴重損害。


https://www.infosecurity-magazine.com/news/cryptojacking-gang-teamtnt-comeback/

上一篇 下一篇