每日安全简讯(20250108)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 新型EAGERBEE变种针对ISP和政府机构实施高级后门攻击
EAGERBEE(又名Thumtais)恶意软件的新变种被发现针对中东地区的互联网服务提供商(ISP)和政府实体发动攻击。该变种具备先进的后门功能,能够部署额外的有效载荷、枚举文件系统、执行命令外壳等操作,展现出显著的演变。研究人员分析指出,EAGERBEE的关键插件包括插件协调器、文件系统操作、远程访问管理、进程探索、网络连接列举和服务管理等,能够实现对受害系统的全面控制。该变种被评估与名为CoughingDown的威胁团体相关,EAGERBEE的架构旨在执行基本的系统枚举并交付后续的恶意程序,用于后期利用。除了中东地区,EAGERBEE还在东亚的多家机构中被部署,利用ProxyLogon漏洞(CVE-2021-26855)通过Web Shell入侵系统,最终安装后门。
https://securelist.com/eagerbee-backdoor/115175/
2 黑客通过伪造npm包攻击以太坊开发者窃取敏感数据
研究人员发现多个恶意npm包伪装成以太坊开发工具Hardhat,试图窃取开发者系统中的敏感数据。Hardhat是以太坊软件开发环境,广泛用于编写、编译、调试和部署智能合约及去中心化应用(dApp)。恶意包利用了开发者对开源插件的信任,通过npm平台发布,窃取如私钥、助记词和配置文件等信息。研究团队指出,攻击者通过Hardhat运行时环境中的函数(如hreInit()和hreConfig())收集敏感数据,并将其传输到攻击者控制的服务器。已知的伪造包包括@nomisfoundation/hardhat-config等,部分包已被下载上千次。
https://socket.dev/blog/malicious-npm-campaign-targets-ethereum-developers
3 恶意WordPress插件PhishWP将网站变为钓鱼页面窃取信用卡信息
研究人员发现了一款名为PhishWP的恶意WordPress插件,黑客利用该插件创建虚假的支付页面,以窃取用户的信用卡信息、CVV码和3D安全验证码(OTP)。PhishWP通过模仿Stripe等支付服务的结账页面,诱使用户输入敏感数据,随后通过Telegram将收集到的信息实时传输给攻击者,使其能立即用于未经授权的交易或在暗网出售。该插件支持定制化的虚假结账页面、浏览器环境分析、3DS验证码弹窗以及自动回复邮件等功能,极大地提高了攻击的隐蔽性与成功率。PhishWP还具备多语言支持和混淆技术,使得其能够开展全球范围内的定向钓鱼攻击。
https://slashnext.com/blog/phishwp-turns-sites-into-phishing-traps/
4 moxa蜂窝路由器和安全路由器存在高危漏洞
moxa公司警告其多款蜂窝路由器、安全路由器和网络安全设备存在两项高危安全漏洞,可能导致权限升级和命令执行。漏洞编号为CVE-2024-9138和CVE-2024-9140,分别存在于多个moxa设备和固件版本中。CVE-2024-9138是一个硬编码凭证漏洞,攻击者可通过该漏洞获得root级别的系统访问权限,从而进行未经授权的修改、数据泄露或服务中断,CVSS评分为8.6。CVE-2024-9140则允许攻击者利用特殊字符绕过输入限制,执行未经授权的命令,CVSS评分为9.3。受影响的设备包括EDR-810系列、EDR-8010系列、EDR-G902系列等,moxa已发布针对多个系列的固件升级补丁,用户需及时更新至最新版本以修补漏洞。
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241155-privilege-escalation-and-os-command-injection-vulnerabilities-in-cellular-routers,-secure-routers,-and-netwo
5 联发科安全公告披露51款芯片受RCE漏洞影响
联发科披露了多个影响其芯片组的安全漏洞,其中包括一个严重的远程代码执行(RCE)漏洞,影响高达51款芯片。该漏洞被跟踪为CVE-2024-20154,存在于受影响芯片的调制解调器中,攻击者只需通过控制基站与设备建立连接即可触发远程代码执行,无需额外权限或用户交互。该漏洞的严重性被评为“关键”,其CVSS评分可能在9到10之间。受影响的设备包括用于汽车、智能手机、物联网设备和Chromebook的芯片,漏洞主要集中在调制解调器LR12A、LR13、NR15、NR16等多个型号上。联发科表示,厂商已在两个月前收到漏洞和修补程序的通知,理论上所有漏洞应已得到修复。除了RCE漏洞外,报告还列出了七个高危漏洞和五个中等危害的漏洞,涉及权限提升、拒绝服务和信息泄露等问题。
https://corp.mediatek.com/product-security-bulletin/January-2025
6 史坦顿岛医院披露2023年5月数据泄露事件
纽约史坦顿岛的理查蒙大学医疗中心(RUMC)通知674000名患者,告知其在2023年5月发生的数据泄露事件。该事件是一起勒索病毒攻击,导致该医院的IT系统瘫痪长达近一个月。尽管最初的调查表明电子健康记录系统未受影响,但后续发现某些文件可能在2023年5月6日左右被访问或删除。经医院审查,发现受影响的文件包含患者的敏感信息,包括全名、社保号码、出生日期、驾照号、银行账户信息、医疗治疗和诊断信息等。这起攻击导致医院及其门诊设施的记录和连接中断,影响了患者的医疗服务。尽管事件发生18个月后才开始通知患者,医院方面表示已采取措施进行调查并更新通知。
https://www.govinfosecurity.com/staten-island-hospital-notifying-674000-may-2023-hack-a-27225
页:
[1]