首頁 > 安全研究 > 安全通報 > 安全簡訊

網絡攻擊者濫用YouTube和Google搜索結果傳播惡意軟件

發布時間 2025-01-16

1. 網絡攻擊者濫用YouTube和Google搜索結果傳播惡意軟件


1月14日,攻擊者利用YouTube和Google搜索結果,針對尋找盜版和破解軟件下載的用戶實施網絡攻擊。他們在YouTube視頻中包含虛假軟件下載鏈接,誘騙用戶點擊并下載包含信息竊取惡意軟件的程序。同時,在Google搜索結果中植入看似合法的盜版軟件下載鏈接,實則也包含惡意軟件。攻擊者還利用Mediafire和Mega.nz等文件托管服務隱藏惡意軟件來源,并使用密碼保護和編碼技術規避安全檢測。此外,該攻擊活動與一年前出現的Lumma Stealer類似,傳播多種信息竊取惡意軟件,如PrivateLoader、MarsStealer等。攻擊者濫用人們對YouTube和文件共享服務的信任,尤其影響那些尋找盜版軟件的用戶。為了防御這些攻擊,組織機構應了解當前威脅,保持警惕,并提高員工安全意識。


https://www.darkreading.com/threat-intelligence/cyberattackers-infostealers-youtube-comments-google-search


2. Fortinet防火墻遭大規模零日漏洞攻擊


1月14日,去年12月,安全研究人員觀察到針對Fortinet防火墻的大規模攻擊活動,攻擊者可能利用了尚未修補的零日漏洞。這些攻擊導致數百到數千次惡意登錄事件,攻擊者通過管理界面獲得訪問權限,并修改了防火墻配置,使用SSL VPN隧道維持連接,竊取憑證以在受害者網絡中橫向移動。盡管具體細節仍在調查中,但北極狼實驗室高度確信零日漏洞被大規模利用。受影響的固件版本包括7.0.14至7.0.16。攻擊者還廣泛使用了設備的基于Web的命令行界面,并與異常源IP地址建立了可疑連接。這些攻擊從11月中旬開始,但直到12月才發生大規模防火墻配置更改。攻擊者創建了新的超級管理員賬戶,打開了本地用戶賬戶,并將它們添加到具有VPN訪問權限的組中,或者劫持現有賬戶。他們還創建了新的SSL VPN門戶,并將用戶賬戶直接添加到這些門戶中。一旦建立了SSL VPN隧道,攻擊者就會收集憑據進行橫向移動,并使用了Kali Linux工具。盡管無法確定攻擊者的最終目標,但勒索軟件的可能性并不能排除。


https://www.theregister.com/2025/01/14/miscreants_mass_exploited_fortinet_firewalls/


3. 5000個WordPress網站遭新型惡意軟件入侵


1月14日,一種新型惡意軟件活動已成功入侵超過5000個WordPress網站,其主要目的為創建管理員帳戶、安裝惡意插件并竊取敏感數據。Webscript安全公司c/side的研究人員在對客戶事件響應中發現,這些惡意活動利用了wp3[.]xyz域名進行數據竊取,但具體的初始感染途徑尚未明確。一旦攻擊得手,惡意腳本便會從wp3[.]xyz加載,并利用預設憑據創建名為wpx_admin的惡意管理員帳戶。隨后,該腳本會從同一域名下載并激活一個惡意插件(plugin.php),該插件旨在收集管理員憑據、日志等敏感信息,并以混淆方式將其偽裝成圖像請求發送至攻擊者服務器。此外,攻擊過程中還包含多個驗證步驟,如記錄惡意管理員帳戶創建狀態及驗證惡意插件安裝等。為阻止此類攻擊,c/side建議網站所有者利用防火墻和安全工具封鎖wp3[.]xyz域名。同時,管理員應定期檢查特權帳戶和已安裝插件列表,及時識別并刪除未經授權的活動。此外,加強WordPress網站的CSRF保護也至關重要,實施多因素身份驗證還可為已泄露憑證的帳戶提供額外保護。


https://www.bleepingcomputer.com/news/security/wp3xyz-malware-attacks-add-rogue-admins-to-5-000-plus-wordpress-sites/


4. Google OAuth漏洞:已倒閉初創公司域名成攻擊者新目標


1月14日,Google的OAuth登錄功能存在一個重大安全隱患,可能被攻擊者利用來訪問前員工在SaaS平臺上的敏感數據。這一漏洞由Trufflesecurity研究人員發現,并向谷歌報告,但最初并未得到足夠重視。盡管谷歌后來向研究人員頒發了賞金并重新開啟了調查,但截至目前,該問題仍未得到解決。攻擊者可以通過注冊已倒閉初創公司的域名,并利用這些域名為前雇員重新創建電子郵件帳戶,從而訪問他們在Slack、Notion、Zoom、ChatGPT等服務上的賬戶。研究人員發現,通過購買已停用的域名,攻擊者可以從人力資源系統中提取敏感數據,并登錄各種服務。這個問題影響了數百萬人和數千家公司,而且隨著時間的推移,問題只會變得越來越嚴重。因為大多數科技初創公司注定會倒閉,而他們中的許多使用Google Workspaces來收發電子郵件,因此他們的員工使用Gmail帳戶登錄生產力工具。為了防范此類風險,建議離開初創公司時從帳戶中刪除敏感數據,并避免使用工作帳戶進行個人帳戶注冊。


https://www.bleepingcomputer.com/news/security/google-oauth-flaw-lets-attackers-gain-access-to-abandoned-accounts/


5. MIG遭Black Basta勒索軟件攻擊,大量客戶信息泄露


1月14日,美國東南部最大的抵押貸款機構之一,總部位于田納西州的抵押貸款投資者集團(MIG)上個月遭遇了一次網絡安全事件,導致大量客戶信息可能泄露。MIG未透露具體受影響客戶數量,但已聘請供應商識別受影響的個人,并計劃在幾周內完成通知工作。據MIG網站通知,此次網絡攻擊始于12月11日,并于次日被發現,一名未經授權的用戶進入了MIG的計算機環境,導致多名個人的敏感個人信息被泄露。此次攻擊由Black Basta勒索軟件團伙發起,該團伙是目前最臭名昭著的黑客組織之一,曾襲擊過全球至少500個組織,并瞄準了16個關鍵基礎設施部門中的12個。近年來,勒索軟件團伙屢屢將目標對準涉及住房行業的金融機構,已有多家大公司遭受攻擊,導致住房購買受阻。


https://therecord.media/tennessee-mortgage-lender-confirms-cyberattack


6. 西黑文政府IT系統遭網絡攻擊,麒麟勒索軟件組織聲稱負責


1月14日,康涅狄格州西黑文市政府正在調查一起導致其所有IT系統暫時關閉的網絡攻擊事件。市長多琳達·博雷爾在1月11日表示,這起“IT系統安全事故”致使政府系統關閉,而政府最初在12月26日于Facebook上僅提及遭遇“網絡中斷”。目前,該市仍在評估哪些數據可能受到此次事件的影響,但已建立應對慣例和總體準備,受影響系統已有備份,預計幾天內可恢復運行。盡管有評論請求確認是否為勒索軟件攻擊,但西黑文市未予回應。然而,1月11日,麒麟勒索軟件組織聲稱對此次攻擊負責。該組織曾攻擊血液檢測巨頭Synnovis,導致100萬人的敏感醫療數據泄露及1100多例手術推遲,引發國際憤怒。麒麟組織自2022年起以勒索軟件即服務形式攻擊美歐多家組織,已確認發起至少25起攻擊,還有100多起未經證實的攻擊。與此同時,美國多個城市報告假日網絡事件,馬薩諸塞州伯恩鎮也于1月11日報告其IT網絡遭入侵。


https://therecord.media/west-haven-connecticut-city-government-cyberattack

上一篇 下一篇