Atgiant 发表于 2024-5-29 16:51

每日安全简讯(20240530)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 攻击者滥用WordPress插件从电商网站窃取信用卡数据

未知的威胁行为者正在滥用较少人知的WordPress代码片段插件,在受害者网站中插入恶意PHP代码,以收集信用卡数据。2024年5月11日,一场活动中滥用了名为Dessky Snippets的WordPress插件,该插件允许用户添加自定义PHP代码。目前有超过200个活跃安装。此类攻击通常利用先前披露的WordPress插件漏洞或容易猜到的凭证,获得管理员访问权限并安装其他插件(无论是合法的还是其他的)进行后期利用。Dessky Snippets插件被用于在受感染网站上插入服务器端PHP信用卡盗刷恶意软件,以窃取财务数据。这种恶意代码被保存于WordPress wp_options表中的dnsp_settings选项,旨在通过操控WooCommerce的结账流程并注入自己的代码来修改账单表单。

https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html

2 研究人员在Google Play上发现超过90个恶意Android应用

研究人员在Google Play上发现了超过90个恶意Android应用程序,这些应用程序总共被安装了超过550万次,用于传播恶意软件和广告软件。其中,Anatsa银行木马最近活动激增。Anatsa(又称“Teabot”)是一种银行木马,针对欧洲、美国、英国和亚洲的650多家金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易。自去年底以来,Anatsa通过使用各种伪装应用程序在生产力软件类别中,通过Google Play至少感染了150,000个设备。Anatsa重新出现在Android的官方应用商店,并通过两个伪装应用程序进行分发:“PDF Reader & File Manager”和“QR Reader & File Manager”。

https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google

3 新型ShrinkLocker勒索软件使用BitLocker加密文件

一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名,是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。使用BitLocker加密计算机的勒索软件并不新鲜。一名威胁行为者曾使用Windows的这一安全功能加密了比利时一家医院40台服务器上的100TB数据。另一个攻击者用它加密了莫斯科一家肉类生产和分销公司的系统。在2022年9月,研究人员警告称,伊朗国家支持的攻击者利用BitLocker加密运行Windows 10、Windows 11或Windows Server 2016及更新版本的系统。研究人员表示ShrinkLocker具有以前未报道的功能,以最大化攻击的破坏力。ShrinkLocker用Visual Basic脚本(VBScript)编写,这是微软于1996年引入的一种语言,目前正在逐步淘汰——从Windows 11 24H2版本开始作为按需功能提供(目前处于发布预览阶段)。

https://usa.kaspersky.com/about/press-releases/2024_kaspersky-uncovers-new-bitlocker-abusing-ransomware

4 TP-Link游戏路由器存在漏洞可导致用户遭遇远程代码攻击

TP-Link Archer C5400X游戏路由器中披露了一项高危安全漏洞,该漏洞可能通过发送特制请求导致易受攻击设备上的远程代码执行。该漏洞被追踪为CVE-2024-5035,CVSS评分为10.0。它影响所有包括和早于版本1_1.1.6的路由器固件。该漏洞已在2024年5月24日发布的版本1_1.1.7中修复。通过成功利用此漏洞,远程未认证的攻击者可以在设备上以提升的权限执行任意命令。

https://onekey.com/blog/security-advisory-remote-command-execution-on-tp-link-archer-c5400x/

5 研究人员警告滥用Cloudflare Workers服务的网络钓鱼活动

网络安全研究人员正在警告一种滥用Cloudflare Workers服务的网络钓鱼活动,该活动用于部署钓鱼网站,收集与Microsoft、Gmail、Yahoo!和cPanel Webmail相关的用户凭证。这种攻击方法称为透明钓鱼或中间人攻击(AitM)钓鱼,研究人员在一份报告中表示,“利用Cloudflare Workers充当合法登录页面的反向代理服务器,拦截受害者和登录页面之间的流量,以捕获凭证、Cookie和令牌。”

https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling

6 First American金融公司披露12月数据泄露影响44000人

First American Financial Corporation是美国第二大产权保险公司,该公司于周二披露,12月份的一次网络攻击导致44000人受影响。该公司成立于1889年,为房地产专业人士、购房者和卖方提供金融和结算服务,涉及住宅和商业物业交易。这家总部位于加利福尼亚的公司拥有超过21000名员工,去年总收入为60亿美元。该金融服务公司在12月21日发布的声明中透露了一些有关事件性质的少量细节。为了遏制网络攻击的影响,First American被迫于当天将部分系统下线。五个月后的5月28日,这家产权保险提供商在向美国证券交易委员会(SEC)提交的文件中披露,调查发现攻击者访问了其部分系统并获取了敏感数据。

https://www.sec.gov/Archives/edgar/data/1472787/000095017024065359/faf-20240521.htm


页: [1]
查看完整版本: 每日安全简讯(20240530)