首頁 > 安全研究 > 安全通報 > 安全簡訊

MathWorks披露勒索軟件攻擊,IT系統及多應用受影響

發布時間 2025-05-29

1. MathWorks披露勒索軟件攻擊,IT系統及多應用受影響


5月28日,總部位于馬薩諸塞州納蒂克的數學計算軟件公司MathWorks周一在其網站更新中披露了一次勒索軟件攻擊。MathWorks以創建MATLAB計算平臺和Simulink仿真而聞名,被眾多組織和客戶廣泛使用。該公司表示,此次攻擊影響了其IT系統,自5月18日起,部分客戶使用的在線應用程序以及員工使用的某些內部系統均變得不可用。5月18日,MathWorks首次發布更新,指出多個應用程序存在問題,并正在評估影響和調查原因。在接下來的八次更新中,公司均表示正在繼續調查。直到5月20日,公司報告稱ThingSpeak也被添加到受影響應用程序列表中。5月21日,MathWorks修復了帳戶單點登錄和多因素身份驗證功能,但同時指出Cloud Center和MATLAB Mobile是受影響的應用程序。5月23日,公司再次更新,表示MathWorks帳戶服務質量下降,用戶無法創建新帳戶,且自2024年10月以來未登錄的用戶將無法登錄,兩步驗證功能也只能間歇性工作。目前,部分受影響的系統已恢復上線,其他系統則在網絡安全專家的協助下進行處理。MathWorks正在繼續調查此次攻擊,并努力解決應用程序中發現的問題,如MATLAB及其云中心的問題。公司已將此次攻擊告知聯邦執法機構,但尚未透露攻擊細節,目前也尚無勒索軟件團伙聲稱對此次攻擊負責。


https://www.darkreading.com/vulnerabilities-threats/mathworks-confirms-ransomware-attack


2. AyySSHush僵尸網絡入侵9000多個華碩路由器


5月28日,近日,超過9000臺華碩路由器遭受名為“AyySSHush”的新型僵尸網絡攻擊,該僵尸網絡還對思科、D - Link和Linksys的SOHO路由器發起攻擊。2025年3月中旬,GreyNoise安全研究人員發現這一活動。此次攻擊手段多樣,結合暴力破解登錄憑證、繞過身份驗證和利用舊漏洞來危害華碩路由器,涉及RT-AC3100、RT-AC3200和RT-AX55等型號。攻擊者利用CVE-2023-39780舊命令注入漏洞添加自己的SSH公鑰,并啟用SSH守護進程監聽非標準TCP端口53282,這種修改讓威脅行為者在重啟和固件更新間仍保留對設備的后門訪問權限,且固件升級后此配置更改仍會保留。攻擊隱蔽,不涉及惡意軟件,還關閉日志記錄和趨勢科技的AiProtection以逃避檢測。目前,“AyySSHush”具體操作目標不明,但該活動似乎在悄悄構建后門路由器網絡,為未來僵尸網絡奠定基礎。為保護華碩路由器,華碩已發布針對受影響路由器的CVE-2023-39780安全更新,發布時間因型號而異。建議用戶盡快升級固件,在“authorized_keys”文件上查找可疑文件和攻擊者的SSH密鑰。


https://www.bleepingcomputer.com/news/security/botnet-hacks-9-000-plus-asus-routers-to-add-persistent-ssh-backdoor/


3. 新型PumaBot僵尸網絡瞄準Linux IoT設備


5月28日,基于嵌入式Linux的物聯網(IoT)設備正遭受新型僵尸網絡PumaBot攻擊。該僵尸網絡由Go語言編寫,針對SSH服務實施暴力破解攻擊以擴大規模,并向受感染主機投遞其他惡意軟件。其不直接掃描互聯網,而是從命令控制(C2)服務器獲取目標列表后嘗試暴力破解SSH憑證,成功入侵后會接收遠程指令并通過系統服務文件建立持久化駐留。PumaBot通過針對開放SSH端口的IP地址列表實施暴力破解獲取初始訪問權限,目標IP列表從外部服務器獲取。在暴力破解時,惡意程序會檢查目標系統適用性及是否為蜜罐環境,還會檢測特定監控攝像頭制造商名稱字符串,表明攻擊者可能有針對性。入侵成功后,惡意軟件收集系統信息回傳至C2服務器,建立持久化機制并執行指令。它偽裝成合法Redis系統文件,在systemd目錄創建看似合法的服務文件,以抵御系統重啟。此外,僵尸網絡執行的指令包含非法加密貨幣挖礦相關命令,暗示被控設備被用于挖礦。溯源分析發現,該行動還部署了ddaemon等關聯組件,包括基于Go的后門程序、SSH暴力破解工具、下載腳本等,各組件協同實現惡意功能,如竊取憑證、外傳信息等。


https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html


4. LexisNexis Risk Solutions披露數據泄露事件


5月28日,LexisNexis Risk Solutions(LNRS)成為最新披露嚴重網絡攻擊并致數據被盜的知名機構,此次事件影響人數達364,333人。據發送給受影響個人的通知信,2024年12月25日,一個“未經授權的一方”訪問了第三方軟件開發平臺并竊取了LNRS數據。該公司提供數據分析、了解客戶及風險管理洞察等產品,于2025年4月1日檢測到入侵,不過其自身網絡或系統未受影響。LNRS在聲明中稱,收到未知第三方報告后,信息安全團隊與取證公司協商展開調查,確認GitHub中保存的部分數據被獲取,部分軟件構件及個人信息遭訪問。該公司補充,財務、信用卡或其他敏感個人信息未被訪問,且其系統、基礎設施和產品未受“損害”。LNRS已通知約36萬名受影響人員及“相關監管機構”,并將事件報告給執法部門。被盜數據包括名字、電話號碼、家庭住址、電子郵件地址、社會安全號碼、駕駛執照號碼和出生日期等。該機構致個人的信件指出,問題發生后,立即在外部網絡安全專家協助下調查,通知執法部門,并采取措施審查和加強安全控制。同時提醒受影響個人警惕欺詐和身份盜竊,建議查看賬戶報表、監控免費信用報告,并告知美國公民每年有權獲得一份免費信用報告,還可通過Experian獲得24個月身份保護和信用監控。


https://www.theregister.com/2025/05/28/attack_on_lexisnexis_risk_solutions/


5. Interlock勒索團伙針對教育機構部署新型NodeSnake RAT


5月28日,Interlock勒索軟件團伙正針對教育機構部署一種此前未記錄的遠程訪問木馬NodeSnake,以獲取對企業網絡的持續訪問。研究人員報告稱,2025年1月和3月,至少有兩起針對英國大學的攻擊案例中發現了NodeSnake的部署,且兩個惡意軟件樣本差異顯著,表明該木馬正被積極開發以增添新功能。Interlock通過攜帶惡意鏈接或附件的網絡釣魚電子郵件傳播NodeSnake RAT。該JavaScript惡意軟件使用NodeJS執行,通過編寫名為“ChromeUpdater”的欺騙性注冊表項來冒充Google Chrome更新程序以建立持久性。為逃避檢測,惡意軟件作為獨立后臺進程運行,文件名和有效載荷隨機命名,C2地址以隨機延遲循環,還具有代碼混淆、異或加密及控制臺篡改等特性,且連接通過Cloudflare代理域路由。一旦激活,NodeSnake會收集關鍵元數據并泄露給C2,還能殺死進程或加載額外有效負載,較新的變種可執行CMD命令并動態更改C2輪詢行為,允許實時Shell交互。NodeSnake的存在及其持續發展表明Interlock在不斷發展且注重長期隱身持久性。


https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-deploys-new-nodesnake-rat-on-universities/


6. Dark Partners利用虛假軟件下載網發動全球加密盜竊攻擊


5月28日,Dark Partners威脅行為者正利用龐大虛假軟件下載網站網絡在全球發動加密盜竊攻擊。這些克隆網站偽裝成熱門應用,提供Poseiden(macOS)和Lumma(Windows)等信息竊取程序及類似Payday的惡意軟件加載程序,用于竊取加密貨幣和敏感數據,如主機信息、憑證、私鑰或Cookie,這些數據或將在網絡犯罪市場上出售。在Windows上,威脅行為者使用多家公司證書對惡意軟件構建數字簽名,其中涉及PayDay Loader;Lumma Stealer作為信息竊取程序之一,已被執法部門搗毀部分基礎設施。在macOS上,投放的Poseidon Stealer使用自定義DMG啟動器,針對Firefox和基于Chromium的網絡瀏覽器。網絡安全研究員g0njxa指出,Dark Partners通過模仿至少37個應用程序和工具的簡單網站提供信息竊取者,這些網站中部分使用生成式AI技術。虛假網站列表涵蓋加密應用、VPN服務、支付平臺、3D建模應用等。登陸頁面易識別,僅提供下載按鈕且共享自定義“等待文件下載”框架。在提供惡意軟件前,網站會檢查機器人下載并發送用戶信息。此外,Poseidon Stealer可收集瀏覽器數據,包括基于Chromium的瀏覽器及錢包擴展數據,還專門針對多個桌面應用程序的錢包文件夾。PayDay Loader是Windows專用惡意應用,用于傳遞信息竊取程序,有反沙盒模塊,使用混淆函數檢索C2服務器地址,建立持久性過程復雜。


https://www.bleepingcomputer.com/news/security/dark-partners-cybercrime-gang-fuels-large-scale-crypto-heists/

上一篇 下一篇