WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析,本周总体情况如下:
本周内共发现暗网数据贩卖事件123起,同比上周降低21.66%。本周内贩卖数据总量共计233967.5万条;累计涉及8个主要地区,主要涉及7种数据分类,数据泄露来源地区分布情况如图1所示。
本周内泄露数据涉及贸易、服务,博彩等多种类型数据,具体占比如图2所示。
图2 泄露信息数据类型占比
近期存在大量高危安全漏洞爆发,需加强防范;本周内出现的安全漏洞以用友U8+CRM文件上传漏洞危害程度较大;内部安全运营中心共发现恶意攻击来源IP 9141条,主要涉及命令注入、apache log4j2、扫描等类型。
01.
重点数据泄露事件
黑客论坛BreachForums v1数据泄露
泄露时间:2024-07-23
泄露内容:Emo泄露了BreachForums v1的212,414名成员信息。这些数据来自2022年11月的BreachForums数据库备份 ,泄露的数据包含论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问该网站时最后使用的IP地址。
泄露数据量:20w+
关联行业:信息
地区:美国
密歇根医学院数据泄露
泄露时间:2024-07-25
泄露内容:密歇根医学院约57,000名患者的个人和健康信息被泄露,攻击者于5月23日和29日访问了员工邮箱,泄露信息包括姓名、病历号、地址、出生日期、诊断和治疗信息及健康保险详情。
泄露数据量:5.7w
关联行业:医疗
地区:美国
希腊土地登记局数据泄露
泄露时间:2024-07-22
泄露内容:希腊土地登记局遭遇400次网络攻击,黑客入侵员工终端,窃取了1.2GB数据,占总数据的0.0006%。
泄露数据量:1.2 GB
关联行业:政府
地区:希腊
智利公民信息数据泄露
泄露时间:2024-07-24
泄露内容:据一个暗网论坛的帖子称,包含 14603422 名智利公民信息的综合数据库以 500 美元的价格出售,数据库中包括 2017 年的 PDF 版本和更新的 CSV 版本。与此同时,卖家还提供了一个包含数据类型的示例格式,泄露数据类型有:RUT(智利身份证号码)、姓名、完整地址、地区等。
泄露数据量:1400w+
关联行业:政府
地区:智利
Z-Library克隆网站数据泄露
泄露时间:2024-07-24
泄露内容:Z-Library克隆网站泄露了近1000万用户的个人信息、密码和加密货币地址。受害者误以为在访问书籍网站,实际被诈骗者收集并泄露信息。
泄露数据量:1000w+
关联行业:学术
地区:全球
02.
热点资讯
受网络安全供应商 Crowdstrike 的软件更新影响,全球无数 Microsoft Windows 计算机瘫痪
2024年7月19日,网络安全供应商一次错误更新导致全球Windows系统崩溃,影响航空、金融、医疗等多个行业约850万台设备。尽管修复已发布,但需手动更新,恢复时间较长。此故障引发大量社交媒体反应,批评声不断。Crowdstrike表示此事件非安全事故或网络攻击,Mac和Linux系统未受影响。
消息来源:
https://krebsonsecurity.com/2024/07/global-microsoft-meltdown-tied-to-bad-crowstrike-update/
朝鲜黑客从网络间谍转向勒索软件攻击
据报道,北朝鲜黑客组织APT45(别名Andariel、Nickel Hyatt、Onyx Sleet、Stonefly和Silent Chollima)逐渐从网络间谍活动转向以经济为目的的勒索软件攻击。APT45主要针对韩国、日本和美国的关键基础设施,部署勒索软件家族如SHATTEREDGLASS和Maui。APT45隶属于朝鲜侦察总局(RGB),并与APT38、APT43和Lazarus Group有关。除了勒索软件,该组织还使用名为Dtrack的后门程序,曾在2019年攻击印度的Kudankulam核电站。分析指出,APT45的行动反映了朝鲜政权的地缘政治优先事项。
消息来源:
https://thehackernews.com/2024/07/north-korean-hackers-shift-from-cyber.html
Magento 网站被黑客利用交换文件隐藏信用卡窃取程序
研究人员发现,攻击者通过在受感染的网站中使用交换文件来隐藏持久的信用卡窃取器并盗取支付信息,并通过”amazon-analytic[.]com”域名收集支付信息。Sucuri表示,在某个Magento电商网站的结账页面发现此恶意软件,且该程序在多次清理后仍保持活跃。黑客利用交换文件加载恶意代码,同时保持原文件无恶意内容以逃避检测。他建议网站所有者限制FTP、sFTP、SSH协议的使用并启用双因素身份验证(2FA)。
消息来源:
https://thehackernews.com/2024/07/magento-sites-targeted-with-sneaky.html
03.
热点技术
针对关键基础设施的新 ICS 恶意软件“FrostyGoop”
研究人员发现了一种新的以工业控制系统(ICS)为目标的恶意软件。该恶意软件在2024年1月初被用于对乌克兰利沃夫市一家供暖公司的网络攻击。攻击者利用了Mikrotik路由器中的一个漏洞,导致利沃夫大都会区600多栋公寓楼近两天没有暖气。根据乌克兰网络安全态势中心(CSSC)的数据,攻击者最初于2023年4月通过Mikrotik路由器漏洞获得访问权限,然后将供暖设备控制器上的固件从版本51和52降级到没有监控功能的版本50,最终导致供暖中断。这次攻击被认为是由具有俄罗斯背景的攻击者实施的。
消息来源:
Microsoft Defender 缺陷被利用来传播 ACR、Lumma 和 Meduza 窃取程序
Fortinet FortiGuard Labs 发现微软 Defender SmartScreen 中的一个高危漏洞(CVE-2024-21412)被利用,攻击者通过伪装的 URL 文件链接引诱受害者下载包含 HTML 应用程序脚本的 LNK 文件,进而投放 ACR Stealer、Lumma 和 Meduza 窃取程序。此次攻击针对西班牙、泰国和美国用户,能够窃取网页浏览器、加密货币钱包、消息应用中的信息。微软已在2024年2月修补了这一漏洞。这一发现进一步表明,网络犯罪分子正利用恶意广告技术推广合法软件,以部署新型窃取程序。
消息来源:
https://thehackernews.com/2024/07/microsoft-defender-flaw-exploited-to.html
黑客组织利用 CrowdStrike 更新事故传播 Remcos RAT 恶意软件
CrowdStrike因推出有缺陷的Windows设备更新而导致全球IT中断,目前警告称,黑客组织正利用这一情况向其拉丁美洲客户分发Remcos RAT,伪装成“crowdstrike-hotfix.zip”修补程序。该ZIP文件包含恶意加载器Hijack Loader,会启动Remcos RAT有效负载。攻击者通过伪装的URL链接引诱受害者下载并运行可执行文件,从而传播恶意软件。CrowdStrike指出,西班牙语文件名表明此次活动主要针对拉丁美洲客户。微软和CrowdStrike已发布修复工具,建议受影响用户通过官方渠道联系支持团队。
消息来源:
https://thehackernews.com/2024/07/cybercriminals-exploit-crowdstrike.html
Play勒索软件推出Linux版本,专门针对VMware ESXi虚拟机进行勒索
安全研究人员发现Play勒索软件最新推出了专门针对Linux的版本,用于加密VMware ESXi虚拟机。该变种会首先检查是否在ESXi环境中运行,然后执行加密操作,同时能够在Linux系统上躲避检测。这一发展表明,该组织可能正在扩展攻击范围,以增加受害者数量并提高勒索成功率。Play勒索软件在启动后,会扫描并关闭受感染环境中的所有虚拟机,开始加密文件,并在每个文件末尾添加“.PLAY”扩展名。此外,勒索软件还会在虚拟机的根目录中放置勒索字条,并显示在ESXi客户端的登录门户中。自2022年6月首次出现以来,Play勒索软件已进行多起高调攻击。
消息来源:
https://www.bleepingcomputer.com/news/security/new-play-ransomware-linux-version-targets-vmware-esxi-vms/
04.
热点漏洞
Apache RocketMQ 敏感信息泄露漏洞
Apache RocketMQ 是一款开源的分布式消息系统,未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息(CVE-2024-23321)。对于RocketMQ 5.2.0及以下版本,在某些情况下,即使RocketMQ启用了认证和授权功能,也存在将敏感信息暴露给未经授权的行为者的风险。拥有普通用户权限或列入IP白名单的攻击者有可能通过特定接口获取管理员帐户和密码。这样的操作将授予他们对 RocketMQ 的完全控制权,前提是他们有权访问代理 IP 地址列表。
影响版本:
Rocketmq< 5.3.0
用友U8+CRM存在文件上传漏洞
用友网络科技股份有限公司用友U8+CRM存在文件上传漏洞,未经身份验证的攻击者通过漏洞上传webshell文件,从而获取到服务器权限。目前,供应商发布了安全公告及相关补丁信息,漏洞编号(CNVD-2024-26308)。
影响版本:
U8V16.1
谷歌云平台 ConfusedFunction 漏洞
攻击者可以将权限升级到默认云构建服务帐户,并访问云构建、存储(包括其他功能的源代码)、工件注册表和容器注册表等众多服务。这种访问权限允许攻击者在受害者项目中进行横向移动和权限提升,访问未经授权的数据,甚至进行数据更新或删除。Cloud Functions是一种无服务器执行环境,允许开发者创建响应特定云事件的单一功能,无需管理服务器或更新框架。Tenable发现的问题在于,当创建或更新Cloud Function时,默认会在后台创建一个云构建服务账户并将其链接到Cloud Build实例。这个服务账户由于权限过多,可能被恶意利用,允许攻击者创建或更新Cloud Function以提升权限。
影响版本:
Cloud Functions七月之前构建的云函数
Telegram存在RCE 漏洞
Telegram 的 Android 移动应用程序中存在一个名为 EvilVideo 的0day,使攻击者可以将恶意文件伪装成看似无害的视频, ESET 表示,该漏洞于 2024 年 6 月 6 日在地下论坛上以未知价格出售。在 6 月 26 日负责任地披露后,Telegram 在 7 月 11 日发布的 10.14.5 版本中解决了该问题。据悉,恶意载荷是使用 Telegram 的应用程序编程接口 (API) 编写的,该接口允许以编程方式将多媒体文件上传到聊天和频道。这样,攻击者就可以将恶意 APK 文件伪装成 30 秒的视频。单击视频的用户会显示一条实际的警告消息,指出该视频无法播放,并敦促他们尝试使用外部播放器播放该视频。如果他们继续执行该步骤,随后会被要求允许通过 Telegram 安装 APK 文件。该应用程序名为“xHamster Premium Mod”。默认情况下,通过 Telegram 接收的媒体文件设置为自动下载,这意味着启用该选项的用户在打开分享恶意载荷的对话后将自动下载并尝试安装恶意应用程序。”
影响版本:
Telegram versions < 10.14.5
OpenSSH Server 远程代码执行漏洞
该漏洞的编号为CVE-2024-6387 ,漏洞成因为条件竞争,因此若要成功利用该漏洞,需要经过多次尝试,并需要绕过相关系统保护措施(如ASLR),在实际网络环境下利用难度较大,目前仅有针对32位机器的利用方案。同时基于代码引入时间、系统保护措施、系统安装OpenSSH版本等,目前已知 CentOS 7/8、RedHat 6/7/8等系统默认安装的OpenSSH Server、Windows操作系统上的OpenSSH Server等均不受该漏洞影响。升级OpenSSH至9.8及以上版本即可修复。
影响版本:
8.5p1 <= OpenSSH < 9.8p1
05.
攻击情报
本周部分重点攻击来源及攻击参数如下表所示,建议将以下IP加入安全设备进行持续跟踪监控。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/94070.html