每日安全简讯(20241122)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露ngioweb僵尸网络代理服务器架构
Lumen Technologies的Black Lotus Labs团队深入研究了“ngioweb”僵尸网络的架构,并揭示其作为犯罪代理服务NSOCKS核心技术的角色。NSOCKS是最常用的犯罪代理之一,日均活跃超35,000台僵尸设备,分布在全球180个国家,其中约80%的设备由Ngioweb网络控制。大部分僵尸网络设备为SOHO路由器和物联网设备,其中三分之二的代理节点位于美国。通过对全球互联网流量的深入分析,研究人员追踪了这些网络活跃及历史的C2(指挥与控制)节点,部分节点自2022年中期以来一直在使用。NSOCKS的用户通过180多个“反向连接”C2节点隐藏真实身份,这些节点为用户代理恶意流量并支持攻击者建立自定义服务。此网络还为强力DDoS攻击提供支持。
https://blog.lumen.com/one-sock-fits-all-the-use-and-abuse-of-the-nsocks-botnet/
2 攻击者利用社交媒体虚假广告传播恶意软件
近日,一场大规模社交媒体宣传活动以“免费AI视频编辑器”为幌子,诱导用户下载信息窃取恶意软件。攻击者利用X、Facebook和YouTube等平台发布链接,吸引用户进入一个看似专业的网站。然而,下载链接实际隐藏着Lumma Stealer(针对Windows用户)和Atomic Stealer(针对macOS用户)这两种恶意软件。攻击者搭建了一个外观专业的伪装网站,诱导用户下载文件“Edit-ProAI-Setup-newest_release.exe”或“EditProAi_v.4.36.dmg”。研究表明,Lumma Stealer通过恶意软件即服务(MaaS)模式分发,窃取加密钱包、浏览器扩展数据及双重身份验证信息。Atomic Stealer则以窃取信用卡信息、登录凭据和认证Cookie为目标,同时可利用浏览器插件获取更多敏感数据。
https://www.malwarebytes.com/blog/news/2024/11/free-ai-editor-lures-in-victims-installs-information-stealer-instead-on-windows-and-mac
3 俄克拉荷马医院遭勒索软件攻击导致13万余患者信息泄露
俄克拉荷马州的Great Plains Regional Medical Center近期报告了一起大规模数据泄露事件,该事件源于9月8日发生的勒索软件攻击。虽然这家仅有62张床位的社区医院迅速恢复了IT系统,但无法挽回部分患者数据,且发现黑客可能访问了约133149名患者的个人信息。被泄露的信息包括患者姓名、人口统计数据、健康保险信息、临床治疗记录、驾驶证号,甚至部分社会安全号码。调查显示,攻击者在9月5日至8日期间进入并加密了医院的系统,随后还复制了部分文件。此次事件凸显了中小型医疗机构在网络安全方面面临的严峻挑战。专家指出,乡村医院往往缺乏足够的资金和技术资源,难以有效应对类似的网络攻击。与此同时,患者信息的大规模集中泄露可能引发身份盗窃和进一步的社会工程攻击。美国国家和地方机构已介入,推动为中小型医疗机构提供更多的网络安全培训与支持。
https://www.govinfosecurity.com/oklahoma-hospital-says-ransomware-hack-hits-133000-people-a-26852
4 Windows Kerberos漏洞可能导致数百万服务器遭受攻击
微软近日在其“补丁星期二”更新中修复了Windows Kerberos认证协议中的一项关键漏洞(CVE-2024-43639)。该漏洞具有9.8的CVSS评分(严重级别),允许攻击者通过特制的请求实现未经授权的访问和远程代码执行(RCE)。由于Windows Server的广泛应用以及漏洞的易用性,这一漏洞对全球企业构成了重大威胁。Censys的研究表明,目前超过227万台Windows服务器暴露在互联网上,其中121万台可能受此漏洞影响,尤其是配置为Kerberos KDC Proxy协议服务器的系统。通过KDC Proxy服务,客户端可通过HTTPS与KDC服务器通信,这一功能常用于远程桌面网关和DirectAccess等服务。然而,该配置也为攻击者提供了入侵途径。研究发现,34%的受影响服务器位于美国,11%与Armstrong Enterprise Communications相关。微软和安全专家强烈建议系统管理员立即为配置为KDC Proxy的Windows服务器安装补丁,同时关闭不必要的KDC Proxy服务,并采用网络分段和防火墙等额外安全措施。
https://hackread.com/windows-kerberos-flaw-millions-of-servers-attack/
5 D-Link警告用户停用受RCE漏洞影响的VPN路由器
D-Link近日发布公告,敦促用户停止使用已到服务期限的VPN路由器型号,包括DSR-150、DSR-150N、DSR-250和DSR-250N。这些设备存在未经身份验证的远程代码执行(RCE)漏洞,该问题将不会得到修复。漏洞由安全研究员“delsploit”发现并报告,目前未公开技术细节,以防止大规模恶意利用的发生。漏洞影响固件版本从3.13到3.17B901C的所有硬件和固件修订版本。这些路由器广泛用于家庭办公和小型企业环境,但已于2024年5月1日结束支持。D-Link建议用户尽快更换设备,并明确表示不会为受影响型号提供安全更新。此外,虽然第三方开源固件可能适用于这些设备,但D-Link不支持也不推荐这种做法,使用此类软件将使产品保修失效。公告强调,继续使用这些设备可能对连接到其上的设备构成安全风险。如果用户在美国继续使用,D-Link建议至少确保路由器运行最后一个已知固件版本,并通过其遗留网站获取相关信息。
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10415
6 苹果修复两个针对Intel Mac系统的零日漏洞
苹果公司近日发布紧急安全更新,修复了两处被攻击者利用的零日漏洞。这些漏洞存在于macOS Sequoia操作系统中的JavaScriptCore(CVE-2024-44308)和WebKit(CVE-2024-44309)组件中,主要影响基于Intel芯片的Mac设备。CVE-2024-44308漏洞允许攻击者通过恶意网页实现远程代码执行,而CVE-2024-44309漏洞则可用于跨站脚本(CSS)攻击。苹果已通过macOS Sequoia 15.1.1更新修复了这些问题,同时也在其他系统中完成了修复,包括iOS 17.7.2和18.1.1、iPadOS 17.7.2和18.1.1,以及visionOS 2.1.1。这两处漏洞由谷歌威胁分析小组的Clément Lecigne和Benoît Sevens发现。尽管苹果确认这些漏洞已被利用,但并未公布具体的利用细节。
https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-used-in-attacks-on-intel-based-macs/
页:
[1]