每日安全简讯(20250116)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 俄罗斯黑客组织利用哈萨克斯坦政府文件发起钓鱼攻击
研究人员发现,俄罗斯情报关联黑客组织Fancy Bear(APT28)利用伪装为哈萨克斯坦政府真实文件的恶意文档,对中亚多国政府官员实施钓鱼攻击。这些文件包括外交声明草稿、内部信函和行政记录等,部分内容与哈萨克斯坦外交部的公开声明一致。攻击通过恶意宏脚本执行“二次触发”链,利用HATVIBE和CHERRYSPY恶意软件持续监控受害者设备。Fancy Bear的活动自2024年7月起已影响中亚、东亚及欧洲多国,其目标可能与哈萨克斯坦近年来在外交和经济上的独立倾向有关。
https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-asia-and-europe
2 Codefinger勒索软件使用SSE-C加密S3存储桶
一个名为Codefinger的勒索团伙通过AWS的服务器端加密选项(SSE-C)加密目标组织的AWS S3数据,要求受害者支付赎金以获取加密密钥。攻击者利用被泄露或盗取的AWS密钥,使用AES-256加密算法,通过x-amz-server-side-encryption-customer-algorithm标头执行加密。由于AWS仅记录HMAC值而不存储密钥,受害者无法自行解密数据。攻击者未窃取数据,但会标记加密文件在七天内删除,进一步施压目标组织。
https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c
3 2024年针对VMware ESXi服务器的勒索软件攻击激增
2024年,针对VMware ESXi服务器的勒索攻击显著增加,平均赎金高达500万美元。多数攻击使用改良的Babuk勒索软件变种,这些变种专为规避安全工具检测而设计。攻击者通过加密ESXi关键文件(如VMDK、VMEM、VSWP、VMSN文件)使虚拟机不可用,同时通过对称加密与非对称加密结合的方法加速数据加密并确保密钥安全。勒索软件团伙还通过出售初始访问权限获利,使得攻击链更加复杂。由于ESXi架构中的vCenter服务器集中管理多个ESXi主机,其"vpxuser"账户成为攻击目标,攻击者一旦获取密钥解密权限,便可对虚拟环境实施全面控制。
https://thehackernews.com/2025/01/ransomware-on-esxi-mechanization-of.html
4 Path of Exile 2管理账户被攻破引发玩家账户大规模被黑
《Path of Exile 2》(PoE 2)开发团队确认,一名管理员账户被黑客攻破,导致至少66个玩家账户密码被篡改。自2024年11月以来,玩家账户接连遭到攻击,珍贵游戏物品被窃,无法恢复。攻击者利用管理员账户,通过一个旧Steam账户漏洞获取访问权限,并使用部分信用卡信息骗取Steam支持重置账户凭证。开发团队承认,由于安全日志保留时间不足,事件的完整影响范围难以确认。此次事件暴露了PoE 2后台系统的严重漏洞,包括密码修改被错误记录为可编辑的备注而非不可更改的审计条目,导致黑客得以删除痕迹。受影响的玩家不仅失去大量游戏物品,还无法通过官方获得补偿或恢复支持。
https://www.pathofexile.com/forum/view-thread/3667200
5 英国域名注册机构Nominet遭Ivanti零日漏洞攻击
英国域名注册机构Nominet近日证实其网络因Ivanti Connect Secure的零日漏洞(CVE-2025-0282)被攻破,成为首个公开受此漏洞影响的机构。该漏洞为堆栈缓冲区溢出,允许攻击者安装恶意软件、进行网络侦察并实施横向移动。研究人员观察到攻击者自2024年12月中旬开始利用该漏洞。尽管Ivanti和Mandiant等机构发布了补丁和缓解措施,但全球仍有约800台暴露的易受攻击设备。Nominet表示目前尚未发现数据泄露或后门存在,并已应用补丁和额外安全措施。研究机构计划于1月16日公开漏洞细节,但延迟发布概念验证(PoC)代码,以减少风险。
https://www.helpnetsecurity.com/2025/01/13/uk-domain-registry-nominet-breached-via-ivanti-zero-day-cve-2025-0282/
6 OneBlood确认7月勒索软件攻击导致个人数据泄露
美国血液捐赠非营利组织OneBlood确认,去年7月的勒索软件攻击导致捐赠者姓名和社会安全号码(SSN)被窃取。攻击发生于2024年7月14日至29日,威胁者在网络中停留15天,期间复制了相关文件。此次事件影响OneBlood为全美250多家医院供应血液的能力,造成血液收集、检测和分发延误,并启动“关键血液短缺”应对措施。尽管其他敏感信息未被泄露,但被暴露的SSN可能长期面临身份盗用和财务欺诈风险。受影响者已获通知,可免费获取一年信用监控服务,并建议采取信用冻结和欺诈警报等措施以降低潜在风险。
https://ago.vermont.gov/sites/ago/files/documents/2025-01-09%20OneBlood%20Data%20Breach%20Notice%20to%20Consumers.pdf
页:
[1]