每日安全简讯(20250110)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 中东地区诈骗分子冒充政府官员窃取OTP
根据研究人员的报告,中东地区出现了一种精密的退款诈骗,诈骗分子冒充政府官员,利用远程控制工具如AnyDesk和TeamViewer窃取受害者的个人和财务信息。受害者通常是在向政府服务门户提交投诉后成为目标,诈骗分子通过电话联系并要求受害者下载远程控制软件,借此获取设备访问权限。获准访问后,诈骗分子能查看受害者的屏幕并盗取信用卡信息及一次性密码(OTP)。这种骗局特别有效,因为它针对的是信任政府机关的受害者,且平均损失达到1300美元,部分受害者损失高达5000美元。此案件可能涉及内部人员泄露受害者信息。
https://www.group-ib.com/blog/social-engineering-in-action/
2 超4000个后门通过注册过期域名被劫持
研究人员发现,超过4000个被遗弃但仍活跃的Web后门被劫持,黑客通过注册过期域名重新控制了这些后门的通信基础设施。此次行动由WatchTowr Labs和The Shadowserver Foundation合作进行,成功防止了这些域名落入恶意攻击者手中。被劫持的后门类型主要包括r57shell、c99shell和“China Chopper”等多种恶意Web Shell。通过注册超过40个过期域名,研究人员监测到这些后门系统的通信请求,并追踪到涉及尼日利亚、孟加拉国、泰国、韩国和中国等国家的多个受感染系统。
https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/
3 印度政府网站仍将用户重定向至诈骗网站
尽管印度政府网站存在的安全问题在去年5月已被TechCrunch报道,但部分网站仍允许恶意链接植入,导致用户被重定向至与在线博彩和投资诈骗相关的网站。TechCrunch发现,多个印度政府部门的“gov.in”域名链接,涵盖了印度农业研究委员会、印度邮政、哈里亚纳邦和马哈拉施特拉邦等政府机构,依然将用户引导至这些诈骗网站。搜索引擎如谷歌已将这些恶意链接编入索引,增加了普通用户被误导的风险。尽管CERT-In(印度计算机应急响应小组)已介入调查并提升此问题的优先级,但问题仍未得到彻底解决。安全专家指出,问题可能源于政府网站内容管理系统(CMS)或服务器配置的漏洞。如果只删除恶意内容而未修复根本漏洞,攻击者很容易重新植入恶意链接。
https://techcrunch.com/2025/01/07/indian-government-websites-are-still-redirecting-users-to-scam-sites/
4 黑客利用KerioControl防火墙漏洞窃取管理员CSRF令牌
黑客正在利用KerioControl防火墙产品中的一个关键性CRLF注入漏洞(CVE-2024-52875)发起远程代码执行(RCE)攻击。该漏洞影响KerioControl版本9.2.5至9.4.5,由于在'dest'参数中对换行符(LF)字符的处理不当,攻击者可以通过注入恶意负载操控HTTP头和响应。攻击者通过在受害者浏览器执行注入的JavaScript,窃取Cookies或CSRF令牌。一旦获取管理员的CSRF令牌,攻击者便可利用KerioControl的升级功能上传恶意.img文件,植入包含root级别的Shell脚本,最终实现反向Shell连接。Greynoise威胁扫描平台已检测到来自四个不同IP的漏洞利用尝试。
https://censys.com/cve-2024-52875/
5 CISA警告Mitel和Oracle系统严重漏洞已被积极利用
美国网络安全与基础设施安全局(CISA)近日将Mitel MiCollab和Oracle WebLogic Server的三个严重漏洞列入已知被利用漏洞(KEV)目录,并确认这些漏洞正受到活跃攻击。CVE-2024-41713与CVE-2024-55550可链式利用,允许远程未认证攻击者读取服务器上的任意文件。Censys数据显示,全球共有超过5600个Mitel MiCollab实例暴露在互联网上,其中约3000个位于美国。CISA要求联邦政府机构在2025年1月28日前完成相关漏洞修补。
https://www.cisa.gov/news-events/alerts/2025/01/07/cisa-adds-three-known-exploited-vulnerabilities-catalog
6 联合国航空机构确认招聘数据库遭受数据泄露
联合国航空机构(ICAO)确认,其招聘数据库遭到黑客攻击,约42000条记录被盗。此次事件发生在ICAO宣布调查潜在的“信息安全事件”后两天,黑客使用“Natohub”身份在黑客论坛BreachForums泄露了包含姓名、出生日期、地址、电话号码、电子邮件地址以及教育和就业信息的文件。ICAO表示,虽然泄露的招聘数据涉及个人信息,但未包括财务信息、密码、护照信息或申请人上传的文件。此外,受影响的数据仅限于招聘数据库,未涉及航空安全或操作相关系统。ICAO已加强了系统安全措施,并正在评估事件影响,努力识别和通知所有受影响的人员。
https://www.bleepingcomputer.com/news/security/un-aviation-agency-confirms-recruitment-database-security-breach/
页:
[1]