首頁 > 安全研究 > 安全通報 > 安全簡訊

MUT-1244威脅行為者大規模竊取WordPress憑證及敏感信息

發布時間 2024-12-17

1. MUT-1244威脅行為者大規模竊取WordPress憑證及敏感信息


12月14日,名為MUT-1244的威脅行為者在一場長達一年的大規?;顒又?,通過木馬病毒感染的WordPress憑證檢查器竊取了超過390,000個WordPress憑證。同時,該行為者還從數百名受害者(包括紅隊成員、滲透測試人員、安全研究人員以及惡意行為者)的受感染系統中盜取了SSH私鑰和AWS訪問密鑰。攻擊者利用被木馬化的GitHub存儲庫推送惡意概念驗證漏洞和進行網絡釣魚活動,欺騙目標安裝偽裝成CPU微碼更新的假內核升級。這些存儲庫增加了其合法性,使得安全專業人員和威脅行為者更容易運行它們。攻擊者通過GitHub repos以多種方式投放有效載荷,包括帶有后門的配置編譯文件、惡意PDF文件、Python投放器以及惡意npm包。此次攻擊活動與另一次長達一年的供應鏈攻擊有重疊,其中涉及竊取數據和挖掘門羅幣加密貨幣。MUT-1244能夠訪問并泄露私人SSH密鑰、AWS憑證等敏感信息,并利用網絡安全社區內的信任,在目標不知情的情況下執行惡意軟件,入侵了數十臺機器。


https://www.bleepingcomputer.com/news/security/390-000-wordpress-accounts-stolen-from-hackers-in-supply-chain-attack/


2. CISA將Cleo漏洞CVE-2024-50623添加到其已知被利用漏洞目錄中


12月14日,美國網絡安全和基礎設施安全局(CISA)已將影響Cleo產品的漏洞CVE-2024-50623(CVSS評分8.8)列入其已知利用漏洞(KEV)目錄中。Cleo公司發現了一個不受限制的文件上傳和下載漏洞,可能導致遠程代碼執行,并建議客戶立即將Harmony、VLTrader和LexiCom實例升級到最新補丁版本5.8.0.21以解決潛在攻擊媒介。然而,安全公司Huntress報告稱,即使安裝了該補丁,運行5.8.0.21的系統仍可能被利用。Huntress發現了針對Cleo文件傳輸軟件的主動攻擊,并公開了涉及三種Cleo產品的持續攻擊。首席安全研究員Caleb Stewart開發了利用任意文件寫入漏洞的Python腳本,并證實了漏洞的有效性。CISA要求聯邦機構在2025年1月3日之前修復此漏洞,專家也建議私人組織審查該目錄并解決其基礎設施中的漏洞,以保護網絡免受攻擊。


https://securityaffairs.com/171973/security/u-s-cisa-adds-cleo-harmony-vltrader-and-lexicom-flaw-to-its-known-exploited-vulnerabilities-catalog.html


3. ConnectOnCall遠程醫療平臺遭重大數據泄露


12月16日,ConnectOnCall是一個專注于加強醫療服務提供者與患者溝通的遠程醫療平臺,近日披露了一起重大數據泄露事件,影響超過900,000人的個人信息及醫療信息安全。該平臺提供自動患者呼叫跟蹤、HIPAA合規聊天功能,并與電子健康記錄系統集成。5月12日,ConnectOnCall發現安全漏洞,經調查確認,2024年2月16日至5月12日期間,有未知第三方訪問了平臺及應用程序內的部分數據,包括醫患通信信息。事件曝光后,公司迅速聘請網絡安全專家,下線產品,并在安全環境中進行數據恢復,同時通知了聯邦執法部門。泄露信息可能包括姓名、電話號碼、出生日期、社會保險號、醫療記錄號及健康狀況等。盡管目前未發現信息濫用或患者受害情況,ConnectOnCall仍建議受影響個人保持警惕,并報告可疑身份盜竊或欺詐行為。公司已向執法部門報告并通知受影響個人,為其中有限數量的社會安全號碼受影響者提供身份和信用監控服務,通過郵寄通知信的方式告知相關情況。


https://securityaffairs.com/172053/data-breach/connectoncall-data-breach-impacted-over-900000-individuals.html


4. 德克薩斯理工大學健康科學中心遭網絡攻擊


12月16日,德克薩斯理工大學健康科學中心及其埃爾帕索分校近期遭受了一次網絡攻擊,導致計算機系統和應用程序中斷,并可能泄露了140萬名患者的敏感數據。該機構是一家公共學術醫療機構,負責教育、培訓和患者護理服務。攻擊導致2024年9月17日至9月29日期間從該機構網絡中訪問或刪除了某些文件和文件夾??赡苄孤督o黑客的信息包括姓名、出生日期、地址、社會安全號碼、駕駛執照號碼、政府身份證號碼、財務賬戶信息、健康保險信息、醫療信息、賬單/索賠數據、診斷和治療信息等。該機構已通知受影響的人,并為他們提供免費的信用監控服務。建議受影響的個人保持警惕,防范潛在的網絡釣魚和社會工程攻擊,并監控他們的信用報告和健康保險賬單。據稱,此次攻擊由名為Interlock的勒索軟件組織負責,該組織泄露了210萬個文件,總計2.6TB的數據,據稱是從該機構竊取的。Interlock索要的贖金金額從數十萬美元到數百萬美元不等。


https://www.bleepingcomputer.com/news/security/texas-tech-university-system-data-breach-impacts-14-million-patients/


5. 大規模惡意廣告活動傳播Lumma Stealer信息竊取軟件


12月16日,一項名為“DeceptionAds”的大規模惡意廣告活動正在利用Monetag廣告網絡傳播Lumma Stealer信息竊取惡意軟件。該活動通過虛假的CAPTCHA驗證頁面誘騙用戶運行惡意PowerShell命令,從而感染惡意軟件。Guardio Labs和Infoblox的研究人員發現,這一操作由名為“Vane Viper”的威脅行為者實施,利用合法廣告網絡上的大規模廣告將用戶帶到虛假的CAPTCHA頁面。CAPTCHA頁面包含JavaScript代碼,將惡意PowerShell命令復制到用戶剪貼板,并誘導用戶執行。Lumma Stealer可從瀏覽器中竊取cookie、憑據、密碼、信用卡和瀏覽歷史記錄,以及加密貨幣錢包、私鑰和敏感文本文件。GuardioLabs已向Monetag和BeMob報告此濫用行為,并得到及時響應。然而,該活動在12月出現復蘇,表明威脅行為者試圖通過不同廣告網絡恢復運營。用戶應避免執行網站提示的命令,特別是那些假裝修復或驗證碼的命令,并謹慎使用盜版軟件或非法流媒體網站。


https://www.bleepingcomputer.com/news/security/malicious-ads-push-lumma-infostealer-via-fake-captcha-pages/


6. 羅德島州RIBridges系統遭Brain Cipher勒索軟件攻擊


12月16日,羅德島州警告稱,其由德勤管理的RIBridges系統遭受了Brain Cipher勒索軟件團伙的入侵,導致數據泄露,暴露了居民的個人信息。RIBridges是該州用于管理和提供公共援助計劃的現代綜合資格系統。此次事件于2024年12月5日被發現,德勤評估后認為黑客可能竊取了包含個人身份信息和其他數據的文件。受影響的項目包括醫療補助、補充營養援助計劃、貧困家庭臨時援助等多個公共服務項目。盡管泄露的數據仍在評估中,但可能包括姓名、地址、出生日期、社會安全號碼和某些銀行信息。受影響的家庭將通過郵件收到通知,并可致電專用呼叫中心尋求支持。羅德島州當局建議居民重置密碼、設置欺詐警報和信用凍結,并啟動銀行提供的安全措施。德勤發言人確認,羅德島州的系統是受到Brain Cipher數據泄露影響的“單一客戶端系統”,并表示將與客戶和執法官員合作展開調查。


https://www.bleepingcomputer.com/news/security/rhode-island-confirms-data-breach-after-brain-cipher-ransomware-attack/

上一篇 下一篇