首頁 > 安全研究 > 安全通報 > 安全簡訊

Mirai新變種利用CVE-2024-3721漏洞劫持TBK DVR設備

發布時間 2025-06-09

1. Mirai新變種利用CVE-2024-3721漏洞劫持TBK DVR設備


6月8日,Mirai惡意軟件僵尸網絡出現新變種,正利用TBK DVR-4104和DVR-4216數字視頻錄制設備中的命令注入漏洞進行劫持。該漏洞編號為CVE-2024-3721,由安全研究員“netsecfish”于2024年4月披露,其概念驗證(PoC)以向易受攻擊端點發送特制POST請求的形式出現,通過操縱mdb和mdc參數實現shell命令執行??ò退够鶊蟾娣Q,在其Linux蜜罐中發現了來自新Mirai僵尸網絡變種對該漏洞的主動利用。攻擊者利用此漏洞植入ARM32惡意軟件二進制文件,該文件與命令和控制(C2)服務器建立通信,將設備加入僵尸網絡群,之后設備可能被用于分布式拒絕服務(DDoS)攻擊、代理惡意流量等行為。盡管netsecfish去年報告約114,000臺暴露在互聯網上的DVR易受該漏洞攻擊,但卡巴斯基掃描顯示暴露設備約50,000臺,數量仍相當可觀??ò退够J為,與最新Mirai變種相關的大多數感染影響了中國、印度等多個國家,不過這一數據基于其遙測數據,可能無法準確反映僵尸網絡目標定位。目前尚不清楚供應商TBK Vision是否已發布安全更新修復該漏洞。此外,DVR-4104和DVR-4216已廣泛更名為多個品牌,受影響設備補丁可用性復雜。


https://www.bleepingcomputer.com/news/security/new-mirai-botnet-infect-tbk-dvr-devices-via-command-injection-flaw/


2. 麒麟勒索軟件利用多個FortiGate漏洞發起攻擊


6月6日,威脅情報公司PRODAFT警告,2025年5月至6月期間,麒麟勒索軟件(又名Phantom Mantis)組織利用多個FortiGate漏洞(包括CVE-2024-21762和CVE-2024-55591)對多個組織發起攻擊。該組織至少自2022年8月起活躍,2024年6月因攻擊英國政府醫療服務提供商Synnovis而受關注,通常采用“雙重勒索”手段。目前,其正利用FortiGate漏洞攻擊西班牙語國家組織,且可能將攻擊范圍擴大到全球,且更傾向于隨機選擇受害者。2024年2月,Fortinet警告FortiOS SSL VPN中的CVE-2024-21762漏洞在野外已被積極利用,CISA已將其添加到KEV目錄中。2025年3月,Forescout Research - Vedere Labs報告稱,1月至3月期間,威脅行為者利用Fortinet的兩個漏洞部署了SuperBlack勒索軟件,歸咎于名為“Mora_001”的威脅行為者,其可能與LockBit生態系統有關。此外,CISA確認漏洞CVE-2025-24472已被用于勒索軟件活動。漏洞CVE-2024-55591是一個利用備用路徑或通道繞過身份驗證的漏洞,影響FortiOS和FortiProxy多個版本,允許遠程攻擊者通過精心設計的請求獲取超級管理員權限,且已有報告顯示該漏洞正在被廣泛利用。


https://securityaffairs.com/178736/hacking/attackers-exploit-fortinet-flaws-to-deploy-qilin-ransomware.html


3. Optima Tax Relief遭Chaos勒索軟件攻擊


6月6日,美國知名稅務解決和結算公司Optima Tax Relief近日遭受了Chaos勒索軟件攻擊,威脅行為者已將竊取的數據泄露。Optima Tax Relief自稱是美國領先的稅務解決公司,已為客戶解決超30億美元稅務責任。此次Chaos勒索軟件團伙將Optima Tax Relief添加到其數據泄露網站,聲稱竊取了69GB數據,這些數據似乎包含公司數據和客戶案例文件。鑒于稅務文件通常包含社保號碼、電話號碼和家庭住址等敏感個人信息,這些信息一旦泄露,可能被其他威脅行為者用于惡意活動或身份盜竊,對個人和企業構成嚴重威脅。有消息人士透露,這是一次雙重勒索攻擊,威脅行為者不僅竊取了公司數據,還對服務器進行了加密。Chaos勒索軟件是一種相對較新的勒索軟件操作,于2025年3月啟動,當時其數據泄露網站上有五名受害者。需注意的是,不要將該勒索軟件團伙與自2021年起就已存在的Chaos勒索軟件構建器混淆,后者用于創建大量品牌加密器以進行網絡釣魚和惡意軟件活動。


https://www.bleepingcomputer.com/news/security/tax-resolution-firm-optima-tax-relief-hit-by-ransomware-data-leaked/


4. 新型PathWiper數據擦除軟件襲擊烏克蘭關鍵基礎設施


6月6日,一種名為“PathWiper”的新型數據擦除惡意軟件正被用于針對烏克蘭關鍵基礎設施的攻擊,其目的在于破壞該國運營。該惡意軟件的有效載荷通過合法端點管理工具部署,表明攻擊者已通過先前攻擊獲取系統管理訪問權限。思科Talos研究人員高度肯定地將此次攻擊歸咎于與俄羅斯相關的高級持續性威脅(APT),并指出PathWiper可能是此前在烏克蘭部署的HermeticWiper的演變,用于相同或重疊威脅集群的攻擊。PathWiper通過Windows批處理文件執行,啟動惡意VBScript,進而刪除并執行主要有效載荷,其執行方式模仿合法管理工具行為以逃避檢測。與HermeticWiper不同,PathWiper以編程方式識別系統上所有連接的驅動器,濫用Windows API卸載卷,并為每個卷創建線程覆蓋關鍵NTFS結構,包括MBR、MFT、LogFile、$Boot等文件,導致系統完全無法運行。此次攻擊不涉及勒索或財務要求,唯一目的是破壞和中斷運營。Cisco Talos已發布文件哈希和Snort規則,以幫助檢測威脅并在其破壞驅動器之前阻止。自戰爭開始以來,數據擦除器已成為攻擊烏克蘭的有力工具,俄羅斯威脅行為者頻繁使用它們破壞該國關鍵行動,此前已有多種擦除器被用于此類攻擊。


https://www.bleepingcomputer.com/news/security/new-pathwiper-data-wiper-malware-hits-critical-infrastructure-in-ukraine/


5. 英稅務海關總署遭釣魚攻擊,損失4700萬英鎊


6月5日,英國稅務海關總署(HMRC)近日披露,犯罪團伙通過釣魚手段盜用超過10萬個納稅人賬戶,并利用這些賬戶提交虛假退稅申請,非法提取了4700萬英鎊(約合6400萬美元)資金。HMRC首席執行官約翰-保羅·馬克斯向議會財政委員會表示,此事件源于攻擊者通過釣魚活動或外部數據泄露獲取個人信息,而非HMRC系統遭到入侵。受影響的納稅人將在三周內收到通知信函,其賬戶已被臨時鎖定并清除異常登錄信息。馬克斯強調,受影響的納稅人不會承擔經濟損失,HMRC已從稅務記錄中刪除錯誤申報信息。數據顯示,HMRC去年成功攔截了犯罪分子試圖竊取的19億英鎊資金,實際損失金額僅占攻擊總額的2.5%。HMRC副首席執行官安吉拉·麥克唐納指出,詐騙者利用被盜身份信息創建或劫持在線賬戶,通過高度組織化的犯罪網絡實施欺詐。盡管當局未透露具體攻擊手法,但網絡安全專家推測可能涉及信息竊取軟件感染或社工攻擊。目前相關刑事調查仍在進行,部分嫌疑人已于去年被逮捕。HMRC正與執法部門合作追回被盜資金,并建議納稅人警惕可疑郵件、短信及電話,避免在非官方渠道提交敏感信息,以防止個人信息泄露和遭受詐騙。


https://therecord.media/uk-hmrc-tax-authority-scammers-stole-47million-pounds


6. GlueStack組件遭供應鏈攻擊,多惡意軟件包現身


6月8日,近期,網絡安全領域發生多起針對軟件供應鏈的惡意攻擊事件。網絡安全研究人員發現針對GlueStack相關組件的供應鏈攻擊,超過12個軟件包被植入惡意代碼,攻擊者通過篡改文件注入惡意程序,可執行shell命令、截取屏幕截圖并上傳受感染設備文件,這些軟件包周下載量合計近100萬次。未授權訪問權限可被用于加密貨幣挖礦、竊取敏感信息等后續攻擊。同時,安全機構Socket發現兩個偽裝成合法工具的惡意npm包——express-api-sync和system-health-sync-api,前者可遞歸刪除當前目錄所有文件,后者兼具信息竊取與破壞功能,且通過郵件為隱蔽通信信道,攻擊者可通過特定端點觸發破壞命令。此外,軟件供應鏈安全公司還在Python包索引(PyPI)發現名為imad213的憑證竊取程序,該程序冒充Instagram漲粉工具,誘導用戶輸入Instagram憑證,隨后將憑證發送至10個第三方機器人服務。攻擊者同期還上傳了taya、a-b27、poppo213等其他惡意軟件包,分別用于竊取多種社交媒體憑證和發動DDoS攻擊。攻擊者在GitHub文檔中聲稱其庫“僅用于教育研究”,實為制造虛假安全感。


https://thehackernews.com/2025/06/new-supply-chain-malware-operation-hits.html

上一篇 下一篇