首頁 > 安全研究 > 安全通報 > 安全簡訊

Wazuh服務器成為Mirai僵尸網絡的攻擊目標

發布時間 2025-06-12

1. Wazuh服務器成為Mirai僵尸網絡的攻擊目標


6月10日,Akamai安全情報和響應團隊(SIRT)近日發現,Mirai僵尸網絡變種正在利用Wazuh服務器中的一個關鍵遠程代碼執行(RCE)漏洞(CVE-2025-24016)進行攻擊活動。該漏洞最初于今年2月份被披露,但至今尚未被添加到美國網絡安全和基礎設施安全局(CISA)的已知被利用漏洞(KEV)目錄中。Wazuh是一個用于威脅預防、檢測和響應的免費開源平臺,而此次受影響的版本為Wazuh 4.4.0至4.9.0,補丁已在4.9.1版本中發布。該漏洞允許具有API訪問權限的遠程攻擊者通過上傳惡意JSON文件來執行任意代碼。具體來說,在Wazuh API中,DistributedAPI的參數會被序列化為JSON,并使用特定文件中的as_Wazuh_object進行反序列化。攻擊者可以通過在DAPI請求中注入未經處理的字典來利用此漏洞,進而導致任意Python代碼的執行,或者更通俗地說,誘騙系統運行惡意Python代碼。研究人員強調,該漏洞僅影響運行過時版本的活動Wazuh服務器,因此敦促用戶盡快更新到Wazuh 4.9.1或更高版本,以防范潛在的安全威脅。


https://cybernews.com/security/wazuh-servers-targeted-by-mirai-botnets/


2. Facebook上發現4000多個虛假網站發布虛假交易


6月10日,Silent Push威脅分析師近日發現了一個名為“GhostVendors”的龐大虛假市場網絡,涉及超過4000個詐騙網站,這些網站冒充了包括亞馬遜、Argos、Costco、Nordstrom、勞力士、密爾沃基工具(Milwaukee Tools,在詐騙廣告中被篡改為“Millaeke”)以及勃肯(Birkenstock)等在內的數十個知名品牌。詐騙者通過Facebook Marketplace投放大量廣告進行推廣,利用極低的價格引誘消費者。他們巧妙地利用Meta的廣告數據保留規則,在活動結束后迅速刪除所有痕跡,使得防御者難以追蹤。詐騙者不僅克隆知名品牌網站模板,還制作了數十個相似的假冒副本,通過“清倉”或“節日促銷”等關鍵詞以及令人難以置信的優惠交易來吸引訪問者。一旦消費者上鉤,詐騙者便可能不交付訂購的產品或竊取其付款詳細信息,實施金融欺詐。由于Meta的廣告數據保留規則相對松懈,防御者在追蹤這些快速啟動和停止的詐騙活動時面臨重大挑戰。Silent Push警告稱,黑客正在利用這些欺詐網站進行各種類型的金融欺詐,且目前幾乎不可能全面追蹤該網絡上的惡意廣告。因此,消費者需提高警惕,避免上當受騙,同時,相關平臺也應加強監管,完善廣告數據保留規則,以有效打擊此類詐騙活動。


https://cybernews.com/security/thousands-domains-pushing-phony-deals-on-facebook/


3. 費城Mastery Schools遭勒索攻擊,超3.7萬人數據泄露


6月10日,費城特許學校網絡Mastery Schools于2024年9月遭遇勒索軟件攻擊,導致37,031人個人數據泄露。此次事件涉及該學校在費城及卡姆登運營的23所校園,約14,000名學生受到影響。泄露的敏感信息廣泛,包括社會保障號、醫療記錄、學生檔案、銀行及財務信息、生物識別數據等。攻擊導致學校核心業務中斷,勒索組織DragonForce宣稱對事件負責,并聲稱竊取了171GB數據,但Mastery Schools未證實該說法,也未透露入侵方式或是否支付贖金。校方表示,已確定未經授權者下載了部分數據,但目前尚無證據表明數據被用于身份盜用或欺詐。為協助受影響人員,Mastery Schools通過Experian的IdentityWorks服務提供免費身份保護,并加強了多因素認證應用、提升了終端監控能力,同時引入外部網絡安全專家團隊并聯合聯邦執法部門深入調查。Comparitech數據顯示,2024年美國學校及大學共遭遇79起勒索攻擊,波及近290萬條記錄,此類攻擊常導致重大運營中斷,如考試延期、薪資系統癱瘓等,對教育機構造成嚴重影響。


https://www.infosecurity-magazine.com/news/mastery-schools-data-breach/


4. “安全行動”國際執法:打擊多國信息竊取惡意軟件


6月11日,代號為“安全行動”的國際執法行動于2025年1月至4月開展,由國際刑警組織牽頭,針對26個國家的信息竊取惡意軟件基礎設施展開大規模打擊。行動重點打擊通過廣泛感染竊取財務和個人數據的信息竊取惡意軟件團伙。信息竊取者竊取賬戶憑證、瀏覽器Cookie和加密貨幣錢包詳情等數據,匯編成“日志”在網絡犯罪市場出售或用于定向攻擊高價值受害者。此次行動成果顯著:關閉超20000個與信息竊取者相關的惡意IP/域名,查獲41臺支持信息竊取活動的服務器,逮捕32名嫌疑人,沒收100GB數據,并通知216000名受害者。當局還發現香港有117臺服務器組成的大型集群,被用作網絡釣魚、網絡欺詐和社交媒體詐騙行動的命令和控制(C2)基礎設施。越南警方在此次行動中表現突出,逮捕18名嫌疑人,其中包括一名專門出售公司賬戶的網絡犯罪集團頭目。行動還得到卡巴斯基、Group-IB和趨勢科技等私人網絡安全合作伙伴的協助。Group-IB指出,行動已影響與Lumma、RisePro和META Stealer相關的基礎設施,研究人員向當局提供關鍵任務情報,并追蹤了運營商用于宣傳惡意軟件和出售被盜數據的Telegram和暗網賬戶。


https://www.bleepingcomputer.com/news/security/operation-secure-disrupts-global-infostealer-malware-operations/


5. 伊利保險集團遭網絡攻擊導致業務中斷


6月11日,伊利保險公司(Erie Insurance)和伊利賠償公司近日透露,周末發生的網絡攻擊是導致其網站業務中斷和平臺癱瘓的原因。伊利賠償公司作為伊利保險集團的管理公司,該集團是一家擁有超過600萬份有效保單的財產和意外險保險公司,通過獨立代理人提供多種保險服務。自6月7日星期六起,Erie Insurance便遭受大面積停電和業務中斷,客戶無法登錄客戶門戶,在提出索賠或接收文件時遇到困難。伊利賠償集團已向美國證券交易委員會提交8-K表格,稱在6月7日檢測到“異常網絡活動”。伊利保險網站也發布通知,稱信息安全團隊在6月7日發現異常網絡活動,并立即采取行動應對,以保護系統和數據。公司已啟動事件響應協議,并采取保護措施確保系統安全。目前,伊利保險正在與執法部門合作,并在網絡安全專家的協助下進行全面的取證分析,以全面了解事件。公司警告稱,在停電期間不會致電或發送電子郵件給客戶要求付款,并建議客戶不要點擊未知來源的鏈接或提供個人信息。對于需要提出索賠的投保人,公司提供了聯系當地代理人或ERIE首次損失通知團隊的電話,以及客戶服務電話。目前,尚未確定此次攻擊是否為勒索軟件攻擊,也未透露數據是否在攻擊過程中被盜。伊利表示,該事件的全部范圍、性質和影響仍有待進一步確定。


https://www.bleepingcomputer.com/news/security/erie-insurance-confirms-cyberattack-behind-business-disruptions/


6. Roundcube RCE漏洞補丁后遭利用,超8萬臺服務器受影響


6月11日,Roundcube這一流行Web郵件平臺近日曝出嚴重遠程代碼執行(RCE)漏洞(編號CVE-2025-49113),該漏洞在補丁發布僅幾天后就被威脅行為者利用,攻擊了超過80,000臺面向互聯網的服務器。該漏洞CVSS評分高達9.9,此前已潛伏十余年,攻擊者可借此控制受影響系統并運行惡意代碼,對用戶和組織構成巨大風險。FearsOff創始人兼首席執行官Kirill Firsov發現了此漏洞,他估計該漏洞影響超過5300萬臺主機,包括使用cPanel、Plesk等工具的服務器。NIST發布的安全公告指出,Roundcube Webmail 1.5.10之前的版本和1.6.11之前的1.6.x版本存在此漏洞,因URL中的_from參數未在特定文件中驗證,導致PHP對象反序列化,從而允許經過身份驗證的用戶執行遠程代碼。該漏洞已在Roundcube 1.6.11和1.5.10 LTS版本中得到修復。漏洞披露后,Positive Technologies研究人員成功復現了該漏洞,并敦促用戶立即更新至最新版本。然而,Shadowserver基金會研究人員警告稱,互聯網上仍有大約84,000個Roundcube實例未得到修補,存在嚴重安全隱患。


https://securityaffairs.com/178887/hacking/over-80000-servers-hit-as-roundcube-rce-bug-gets-rapidly-exploited.html

上一篇 下一篇