首頁 > 安全研究 > 安全通報 > 安全簡訊

BadBox惡意軟件僵尸網絡持續擴張,全球感染設備超19.2萬臺

發布時間 2024-12-20

1. BadBox惡意軟件僵尸網絡持續擴張,全球感染設備超19.2萬臺


12月19日,BadBox Android 惡意軟件僵尸網絡在全球范圍內持續擴張,感染設備數量已超過192,000臺,其中包括知名品牌的智能電視和智能手機,如Yandex和海信。該惡意軟件最初通過供應鏈攻擊感染不知名制造商的設備,現已擴展到在線銷售的無名產品及其他知名品牌。其目標主要是獲取經濟利益,通過將設備變成住宅代理或用于廣告欺詐實現。盡管德國聯邦信息安全局(BSI)曾宣布搗毀BadBox的行動,切斷了30,000臺設備的通信,但BadBox仍在繼續發展。BitSight研究人員發現,該惡意軟件已安裝在192,000臺設備上,且數量仍在穩步增長。受影響的設備主要位于俄羅斯、中國、印度、白俄羅斯、巴西和烏克蘭。消費者應應用最新的固件安全更新、將智能設備與關鍵系統隔離并在不使用時斷開網絡連接,以防范BadBox感染。若設備無可用更新,建議斷開網絡或關閉設備。感染跡象包括過熱、性能下降、處理器使用率高和網絡流量異常。


https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/


2. 微軟365 Office應用現“產品已停用”錯誤,源于許可證變更問題


12月19日,微軟正在調查一個導致Microsoft 365 Office應用用戶觸發“產品已停用”錯誤的問題。據Reddit和微軟社區網站上的報告,用戶在Office應用中隨機收到此錯誤,造成混亂和中斷。問題源于管理員發起的許可證變更,如移動用戶到不同的許可組或更改用戶訂閱。當管理員刪除并重新添加用戶到許可證組、調整許可證或服務計劃設置,或切換“最新版本的桌面應用程序”服務計劃時,也會觸發此問題。用戶可以通過單擊錯誤橫幅上的“重新激活”按鈕或退出并重新啟動Microsoft 365應用來解決此問題。如果問題仍然存在,建議聯系管理員檢查訂閱是否已過期。微軟建議有未解決支持案例的用戶提供使用Office許可診斷工具收集的診斷數據,并提示受影響的用戶提供存儲在%temp%/diagnostics目錄中的日志。雖然微軟尚未公布修復時間表,但其工程團隊正在積極調查此問題,并鼓勵受影響的用戶和管理員關注其支持渠道以獲取更新。


https://www.bleepingcomputer.com/news/microsoft/microsoft-365-users-hit-by-random-product-deactivation-errors/


3. 亞馬遜應用商店驚現BMI CalculationVsn惡意間諜軟件


12月19日,在亞馬遜應用商店中,一款名為“BMI CalculationVsn”的Android應用程序被發現實際上是一款惡意間諜軟件,它偽裝成健康工具竊取用戶設備數據。該應用由邁克菲實驗室的研究人員發現,并已被從商店中移除,但已安裝的用戶需手動刪除并執行完整掃描以清除殘留痕跡。該間諜軟件由“PT Visionet Data Internasional”發布,最初宣傳為身體質量指數(BMI)計算器,但后臺執行惡意操作,包括啟動屏幕錄制服務、掃描已安裝的應用程序以及攔截并收集短信,包括一次性密碼和驗證碼。鑒于此類危險應用仍能逃避合法應用商店的代碼審查,Android用戶應只安裝來自知名發行商的應用,并仔細檢查所請求的權限,在安裝后撤銷有風險的權限。同時,保持Google Play Protect活躍狀態對于檢測并阻止已知惡意軟件至關重要。


https://www.bleepingcomputer.com/news/security/android-spyware-found-on-amazon-appstore-disguised-as-health-app/


4. Mirai惡意軟件利用默認憑證感染Session Smart路由器


12月19日,瞻博網絡向客戶發出警告,指出Mirai惡意軟件正在利用默認憑證攻擊并感染Session Smart路由器,進而發起分布式拒絕服務(DDoS)攻擊。該惡意軟件會掃描具有默認登錄憑據的設備,并在獲得訪問權限后遠程執行命令。瞻博網絡建議客戶立即更改所有Session Smart路由器上的默認憑據,并使用獨特且強的密碼,同時保持固件更新,檢查訪問日志中的異常,并部署入侵檢測系統和防火墻來增強安全性。此外,瞻博網絡還提醒管理員注意潛在的入侵指標,如掃描常見端口、SSH服務登錄嘗試失敗、出站流量激增等。已經感染的路由器必須重新映像化才能重新上線。此前,瞻博網絡也曾多次警告其產品中存在的遠程代碼執行漏洞和身份驗證繞過漏洞,并發布了相應的補丁。


https://www.bleepingcomputer.com/news/security/juniper-warns-of-mirai-botnet-targeting-session-smart-routers/


5. BeyondTrust遭網絡攻擊,發現安全漏洞并緊急應對


12月19日,BeyondTrust是一家提供特權訪問管理和安全遠程訪問解決方案的網絡安全公司,在12月初遭受了網絡攻擊。威脅行為者入侵了其部分遠程支持SaaS實例,獲得了遠程支持SaaS API密鑰的訪問權限,可以重置本地應用程序帳戶的密碼。BeyondTrust立即撤銷了API密鑰,通知了受影響的客戶,并暫停了這些實例。在調查過程中,發現了兩個漏洞,其中一個為嚴重的命令注入漏洞CVE-2024-12356,另一個為中等嚴重性漏洞CVE-2024-12686。BeyondTrust已自動在所有云實例上應用了針對這兩個缺陷的補丁,但運行自托管實例的用戶需要手動應用安全更新。目前尚不清楚威脅行為者是否利用這些漏洞來攻擊下游客戶,但CISA表示CVE-2024-12356已被利用于攻擊。BeyondTrust表示,他們正在繼續與獨立的第三方網絡安全公司合作進行徹底調查,并專注于確保所有客戶實例都得到全面更新和安全保障。


https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/


6. FortiWLM曝嚴重漏洞:可遠程接管設備


12月19日,Fortinet無線管理器(FortiWLM)中存在一個編號為CVE-2023-34990的嚴重漏洞,該漏洞允許遠程攻擊者通過特制Web請求執行未經授權的代碼或命令,從而接管設備。此漏洞是一個相對路徑遍歷漏洞,評分為9.8,由Horizon3研究員Zach Hanley在2023年5月發現。然而,在長達十個月的時間里,該漏洞未得到修復,迫使Hanley在2024年3月公開披露了漏洞信息和證明代碼(POC)。利用此漏洞,攻擊者可以讀取敏感日志文件,包括管理員會話ID,進而劫持管理員會話并獲取特權訪問。該漏洞影響了FortiWLM版本8.6.0至8.6.5和8.5.0至8.5.4。盡管研究人員已發出警告,但由于缺乏CVE ID和安全公告,用戶并未意識到風險。直到2024年12月18日,Fortinet才發布安全公告稱,該漏洞已在2023年9月底發布的FortiWLM版本8.6.6和8.5.5中得到修復??紤]到FortiWLM被廣泛應用于政府機構、醫療保健組織、教育機構和大型企業等關鍵環境中,該漏洞的存在可能導致整個網絡中斷和敏感數據泄露。因此,強烈建議FortiWLM管理員及時應用所有可用更新。


https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-fortiwlm-bug-giving-hackers-admin-privileges/

上一篇 下一篇