首頁 > 安全研究 > 安全通報 > 安全簡訊

馬斯克DOGE計劃陷網絡安全危機,政府效率部網站遭黑客曝光漏洞

發布時間 2025-02-18

1. 馬斯克DOGE計劃陷網絡安全危機,政府效率部網站遭黑客曝光漏洞


2月14日,科技億萬富翁埃隆·馬斯克管理的政府效率部(DOGE)旨在削減聯邦開支并提升政府效率,然而,其新創建的DOGE.gov網站卻因網絡安全措施松懈而面臨重大風險。黑客指出,該網站存在嚴重安全漏洞,任何人都能訪問并編輯存儲的信息。網站似乎匆忙建成,復制了DOGE的社交媒體帖子及關鍵統計數據,且數據庫公開,允許第三方修改內容并實時顯示。據開發人員透露,該網站托管在Cloudflare Pages上,而非政府服務器,數據庫API端點可被輕易找到并推送更新。此外,DOGE的另一網站waste.gov也保留了WordPress默認模板和示例文本,僅在媒體關注后才被封禁。這些事件凸顯了DOGE在追求效率的同時,忽視了網絡安全的重要性,可能成為其改革的犧牲品。


https://cybernews.com/security/musk-doge-website-hacked/


2. 荷蘭警方查封Zservers/XHost防彈托管服務127臺服務器


2月17日,近日,美、英、澳三國對俄羅斯防彈托管服務提供商Zservers及其管理員Alexander Igorevich Mishin和Aleksandr Sergeyevich Bolshakov實施制裁,因其支持俄羅斯勒索軟件LockBit行動。Zservers位于俄羅斯巴爾瑙爾,通過提供防彈托管服務(BPH),包括租賃大量IP地址,協助LockBit關聯公司逃避執法和網絡安全公司的審查,協調和發起勒索軟件攻擊。此前,加拿大執法部門在搜查中發現Zservers的轉租IP地址與LockBit惡意軟件操作有關。荷蘭因法律薄弱難以關閉此類服務,凸顯了加強法規的必要性。幾天后,荷蘭警方宣布已下線并查封了與Zservers/XHost相關的127臺位于阿姆斯特丹的服務器。這些服務器被Conti和LockBit等網絡犯罪集團使用。經過一年多的調查,阿姆斯特丹警方網絡犯罪小組在2月12日的突襲中搗毀了這家防彈托管商。行動中發現的服務器上裝有Conti和Lockbit的黑客工具,這兩個集團被認為是世界上最具生產力和破壞力的勒索軟件集團。目前,該調查仍在進行中,警方正在分析被扣押服務器上存儲的數據。


https://securityaffairs.com/174321/hacking/dutch-police-seized-127-servers-bulletproof-hosting-service-zservers-xhost.html


3. XCSSET macOS惡意軟件新變種增強攻擊能力,竊取用戶敏感信息


2月17日,XCSSET macOS模塊化惡意軟件的新變種已出現在針對用戶敏感信息的攻擊中,包括數字錢包和Notes應用程序的數據。該惡意軟件通常通過受感染的Xcode項目進行傳播,已經存在至少五年,并且每次更新都代表著開發的一個里程碑。微軟威脅情報團隊在有限的攻擊中發現了最新變種,它具有增強的代碼混淆、更好的持久性和新的感染策略。新的變種采用了依賴于Base64和xxd方法的編碼技術進行新的混淆,同時使用了zshrc和dock兩種持久性技術。惡意軟件還使用新的Xcode感染方法,將有效載荷放置在Xcode項目中。對于zshrc持久化方法,新的變種會創建一個包含有效負載的文件,并在啟動新的shell會話時啟動該文件。對于dock方法,惡意軟件從攻擊者的命令和控制服務器下載已簽名的dockutil工具來管理dock項目,并創建一個惡意的Launchpad應用程序來執行惡意負載。Xcode是Apple的開發工具集,XCSSET的運營者通過針對Xcode項目資源可以接觸到更多的受害者。微軟建議檢查和驗證從非官方存儲庫克隆的Xcode項目和代碼庫,以防隱藏混淆的惡意軟件或后門。


https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/


4. 黑客利用 Telegram API 傳播新的 Golang 后門


2月17日,Netskope的網絡安全研究人員發現了一個新的、可能仍在開發中的基于Golang的后門惡意軟件,它利用Telegram API進行命令和控制(C2)通信。這種惡意軟件源自俄羅斯,利用了Telegram等云服務,這些服務易于攻擊者使用而難以被研究人員監控。該惡意軟件在執行時會檢查自身是否從指定位置和文件名運行,如不是,則會復制到該位置并啟動副本。對于C2通信,后門使用開源Go包與Telegram交互,建立一個機器人實例來監視指定的聊天中是否有新命令。該惡意軟件支持四個命令,但目前只實現了三個,包括執行PowerShell命令、重復初始安裝檢查和過程、發送屏幕截圖消息(雖未完全實現)以及自毀命令。這種對云應用程序的惡意利用給防御者帶來了挑戰,因為從防御者的角度來看,很難區分使用API的普通用戶和C2通信。為了保持安全,建議安裝最新且信譽良好的防病毒和反惡意軟件,以檢測和阻止此類惡意文件。


https://hackread.com/hackers-exploit-telegram-api-spread-golang-backdoor/


5. RansomHub勒索軟件組織攻擊蘇圣瑪麗奇普瓦印第安部落


2月17日,RansomHub勒索軟件組織聲稱對蘇圣瑪麗奇普瓦印第安部落進行了攻擊,已鎖定其基礎設施并獲取了119GB的文件。受影響的系統包括賭場、便利店、政府大樓、電信服務以及多個醫療中心。RansomHub指責部落未進行談判,并批評其保險公司和董事會未采取行動。RansomHub威脅稱,若周三前未收到回復,將泄露所有數據。蘇圣瑪麗奇珀瓦印第安部落則發表聲明稱,2月9日遭受了勒索軟件網絡攻擊,多個電話和計算機系統受到影響。部落正在與網絡安全專家合作,盡力解決問題,并設立了新的電話號碼,預計將以有限能力運作一周。部落主席向社區保證,他們將繼續定期更新恢復情況,但目前無法分享更多細節,感謝大家的耐心和理解。


https://databreaches.net/2025/02/17/ransomware-attack-affects-michigan-casinos-and-tribal-health-centers/


6. 親俄黑客組織NoName057(16)對意大利多家實體發動DDoS攻擊


2月17日,親俄黑客組織NoName057(16)對意大利多家實體發動了DDoS攻擊,目標包括利納特機場、馬爾彭薩機場、交通管理局、Intesa San Paolo銀行以及塔蘭托港和的里雅斯特港的網站。這些攻擊是對意大利總統馬塔雷拉將俄羅斯與納粹德國歷史進行比較的言論的回應,NoName057(16)聲稱這是對“恐俄者”的懲罰。盡管攻擊對目標的影響較小,但意大利國家網絡安全局迅速采取行動,支持受影響的組織并消除了攻擊。NoName057組織自2022年3月以來一直活躍,使用多種工具進行攻擊,并在地緣政治緊張時期升級襲擊。此次攻擊并非首次,之前該組織也曾對意大利各部委、機構、關鍵基礎設施網站和私人組織發起過攻擊。俄羅斯外交部發言人瑪麗亞·扎哈羅娃也表示,馬塔雷拉的言論不會“不受懲罰”。


https://securityaffairs.com/174294/hacktivism/noname05716-launched-ddos-attacks-on-italian-sites.html

上一篇 下一篇