首頁 > 安全研究 > 安全通報 > 安全簡訊

Ivanti警告稱另有三個CSA零日漏洞正在被攻擊者利用

發布時間 2024-10-10

1. Ivanti警告稱另有三個CSA零日漏洞正在被攻擊者利用


10月8日,美國IT軟件公司Ivanti近期發布了安全更新,旨在修復三個被積極利用的新型云服務設備(CSA)零日漏洞,這些漏洞編號為CVE-2024-9379、CVE-2024-9380和CVE-2024-9381。攻擊者將這些漏洞與9月份已修補的另一個CSA零日漏洞(CVE-2024-8963)結合使用,通過SQL注入、命令注入和路徑遍歷等手段,遠程執行任意代碼并繞過安全限制。Ivanti警告稱,運行CSA 4.6 patch 518及更早版本的客戶在結合這些漏洞時可能已遭到攻擊,并建議受影響客戶升級到CSA 5.0.2版本以重建設備。同時,管理員應利用EDR或其他安全軟件警報,以及檢查新的或修改后的管理員用戶來檢測入侵跡象。由于CSA 4.6已停產,仍在運行此版本的客戶應盡快升級。此外,CISA已將相關漏洞添加到已知被利用漏洞目錄中,并要求聯邦機構在10月10日前保護易受攻擊的系統。


https://www.bleepingcomputer.com/news/security/ivanti-warns-of-three-more-csa-zero-days-exploited-in-attacks/


2. 卡西歐遭網絡攻擊,服務中斷并引發數據泄露擔憂


10月8日,日本科技巨頭卡西歐計算機公司近期遭遇了一起網絡安全事件,其網絡被未經授權的行為者訪問,導致系統中斷,并影響了部分服務??ㄎ鳉W以手表、計算器、樂器、相機等電子產品聞名,此次攻擊對其造成了不小的影響??ㄎ鳉W在公告中確認了此次網絡攻擊,并表示正在與外部專家合作,以確定是否有個人數據或其他機密信息被盜。目前,該公司未透露更多細節,也未說明服務中斷的具體內容??ㄎ鳉W已向適用的數據保護機構報告了此事件,并采取了限制外部人員訪問的措施。盡管尚未有勒索軟件組織聲稱對此次攻擊負責,但此次事件對卡西歐來說無疑是一次打擊。大約一年前,卡西歐還曾披露過另一起數據泄露事件,涉及149個國家的客戶數據。此次最新的網絡安全事件發生在卡西歐即將因大規模人事重組而遭受近5000萬美元非經常性損失的艱難時刻,無疑給該公司帶來了更大的挑戰。


https://www.bleepingcomputer.com/news/security/casio-reports-it-systems-failure-after-weekend-network-breach/


3. Awaken Likho APT組織采用新戰術攻擊俄羅斯機構


10月8日,卡巴斯基研究人員揭示了Awaken Likho APT組織(又名Core Werewolf)自2021年7月以來針對俄羅斯政府機構和工業企業發起的最新攻擊。該組織在2024年6月的新攻擊中,顯著改變了其軟件和技術,從利用UltraVNC模塊轉向使用合法的MeshCentral平臺代理MeshAgent。MeshCentral作為一種開源遠程設備管理解決方案,被攻擊者非法利用以控制受感染系統,這一轉變增加了攻擊的隱蔽性和難度??ò退够鶊F隊發現,Awaken Likho通過網絡釣魚電子郵件傳播新植入程序,這些郵件利用7-Zip創建的SFX格式分發,內含偽裝成合法系統服務和命令文件的誘餌。植入程序運行后,會啟動MeshAgent和一個高度混淆的命令文件,旨在實現持久性控制。通過創建計劃任務,攻擊者確保MeshAgent能重新連接到命令和控制服務器,該連接通過WebSocket協議建立,并利用HTTPS加密。Awaken Likho的此次攻擊活動與以往一致,目標仍是俄羅斯政府機構、承包商和工業企業。


https://securityonline.info/new-campaign-by-awaken-likho-apt-group-changes-in-software-and-techniques/


4. 互聯網檔案館遭數據泄露,3100萬用戶信息被盜


10月9日,互聯網檔案館的“Wayback Machine”近期遭遇了嚴重的數據泄露事件。一名威脅行為者成功入侵該網站,竊取了包含3100萬條唯一記錄的用戶身份驗證數據庫,并通過JavaScript警報向archive.org的訪問者宣告了這一入侵。該警報還提及了Troy Hunt創建的Have I Been Pwned(HIBP)數據泄露通知服務,威脅行為者已與該服務共享了被盜數據。被盜的數據庫名為“ia_users.sql”,是一個6.4GB的SQL文件,包含注冊成員的身份驗證信息,如電子郵件地址、屏幕名稱、密碼更改時間戳、Bcrypt哈希密碼等。據HIBP的創始人亨特透露,數據庫中有3100萬個唯一電子郵件地址,其中許多已訂閱HIBP的數據泄露通知服務。這些數據將很快被添加到HIBP中,以便用戶可以查詢他們的數據是否在此次泄露中被泄露。目前尚不清楚威脅行為者是如何侵入互聯網檔案館的,以及是否有其他數據被盜。而就在今天早些時候,互聯網檔案館還遭受了DDoS攻擊,BlackMeta黑客組織已聲稱對此負責,并表示將進行更多攻擊。


https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/


5. 歐亞多國超2.8萬人遭加密貨幣竊取惡意軟件攻擊


10月9日,近期一起大規模加密貨幣竊取惡意軟件活動影響了俄羅斯、土耳其、烏克蘭及歐亞地區其他國家的超過28,000人。該活動通過偽裝成合法軟件,在YouTube視頻和欺詐性GitHub存儲庫上進行推廣,誘導受害者下載受密碼保護的檔案并啟動感染。據網絡安全公司Dr. Web稱,絕大多數受害者是俄羅斯居民,同時白俄羅斯、烏茲別克斯坦、哈薩克斯坦、烏克蘭、吉爾吉斯斯坦和土耳其也出現大量感染。惡意軟件利用多種手段欺騙用戶下載,一旦感染,會檢查調試工具、提取所需文件、修改Windows注冊表以實現持久性,并劫持合法的Windows系統服務和瀏覽器更新進程。此外,惡意軟件還會收集系統信息并通過Telegram機器人竊取,投放SilentCryptoMiner挖掘加密貨幣,以及充當剪輯器監視并替換Windows剪貼板中的錢包地址。Dr. Web發現,僅Clipper就劫持了價值6,000美元的交易。為避免財務損失,建議從官方網站下載軟件,并謹慎對待YouTube或GitHub上的鏈接。


https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/


6. 美司法部與微軟聯手查獲百余俄羅斯黑客網絡釣魚網站


10月4日,美國司法部和微軟聯合行動,成功查獲了100多個由俄羅斯黑客用于針對美國進行網絡釣魚活動的網站。此次行動旨在阻止國家支持的網絡攻擊,保護美國的敏感數據。被查封的域名由名為Callisto Group的組織使用,該組織是俄羅斯聯邦安全局下屬的行動單位,被指控策劃魚叉式網絡釣魚活動,旨在欺騙收件人泄露登錄憑據,未經授權訪問政府實體和其他高價值目標的機密信息。微軟在行動中發揮了關鍵作用,提起了民事訴訟,要求查封與Callisto Group有關聯的66個域名。此次行動不僅破壞了現有運營和基礎設施,還向外國對手和美國國內民眾發出了明確的信息,表明俄羅斯是一個真正的網絡行動對手。此外,此次行動也展示了政府和私營部門之間持續合作的重要性,可以共同更快地遏制網絡犯罪。


https://hackread.com/doj-microsoft-seize-russian-phishing-sites-target-us/

上一篇 下一篇