每日安全简讯(20250121)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 恶意PyPi包窃取Discord开发者认证令牌并植入后门
研究人员揭示了一个名为“pycord-self”的恶意Python包,目标是窃取Discord开发者的认证令牌并在其系统中植入后门。该包模仿了流行的合法包“discord.py-self”,后者在PyPi平台上有近2800万次下载。恶意包通过窃取Discord认证令牌,允许攻击者在不需要开发者凭据的情况下接管其Discord账户,即使启用了两步验证也不受影响。此外,攻击者还在受害者系统中建立了一个持久化的后门,允许他们通过端口6969与远程服务器保持连接,从而获得持续的远程控制权限。
https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-token-theft-and-backdoor
2 新型“Sneaky 2FA”钓鱼工具包绕过微软365双重认证
研究人员揭露了一个名为“Sneaky 2FA”的新型中间人钓鱼工具包,能够绕过微软365账户的双重认证(2FA)并窃取凭据。该工具包自2024年10月起开始活动,已在多个网站上部署。研究人员在去年12月首次发现该工具包,并指出其通过Telegram的恶意Bot以“钓鱼即服务”(PhaaS)形式提供,售价约为每月200美元。攻击者通过伪造包含二维码的支付收据邮件,诱使受害者扫描二维码后访问钓鱼页面。页面经过反分析和反机器人的多重保护措施,能够通过过滤流量和Cloudflare Turnstile挑战确保只让真正的受害者进入。该工具包采用伪造的微软认证界面来误导用户输入敏感信息。
https://blog.sekoia.io/sneaky-2fa-exposing-a-new-aitm-phishing-as-a-service/
3 基于Python的机器人利用PHP服务器推广赌博平台
研究人员揭示了一项新型攻击活动,目标是利用运行PHP应用程序的网络服务器,特别是在印度尼西亚推广赌博平台。研究发现,过去两个月内,以Python为基础的僵尸网络发起了大量攻击,利用已被入侵的服务器安装GSocket工具,建立通信渠道。GSocket常被用于加密挖矿攻击,并在某些情况下被用来注入恶意JavaScript代码以窃取支付信息。这些攻击链利用已存在的Web Shell,特别是针对流行的Moodle学习管理系统。攻击者通过修改bashrc和crontab系统文件,确保即使Web Shell被删除,GSocket仍持续运行。攻击还涉及到伪造的PHP文件,其中嵌入HTML内容,目的是引导搜索引擎的爬虫访问,并将正常用户重定向至赌博网站“pktoto[.]cc”。
https://www.imperva.com/blog/how-hackers-use-php-backdoors-and-gsocket-to-facilitate-illegal-gambling-in-indonesia/
4 WGS-804HPT交换机严重漏洞可导致远程代码执行
研究人员披露了Planet Technology公司WGS-804HPT工业交换机的三项严重安全漏洞,这些漏洞可能被攻击者串联利用,实现在易受攻击设备上的预身份验证远程代码执行(RCE)。这些交换机广泛应用于建筑和家居自动化系统中的网络通信。研究人员分析表明,漏洞源自交换机web服务接口dispatcher.cgi,具体包括:CVE-2024-52558(整数下溢漏洞,CVSS评分5.3),CVE-2024-52320(操作系统命令注入,CVSS评分9.8),以及CVE-2024-48871(栈溢出漏洞,CVSS评分9.8)。攻击者成功利用这些漏洞,可以通过恶意HTTP请求嵌入Shellcode,进而控制设备,执行操作系统命令。
https://claroty.com/team82/research/hack-the-emulated-planet-vulnerability-hunting-planet-wgs-804hpt-industrial-switch
5 Wolf Haldenstein律师事务所称黑客攻击影响340万人
Wolf Haldenstein披露,2023年的一宗重大黑客攻击事件影响了超过340万人。该律师事务所专门为数据泄露案件和其他纠纷代表消费者,该事件涉及的敏感信息包括姓名、社会保障号码、员工识别号、医疗诊断和医疗索赔信息。黑客攻击最早于2023年12月被发现,当时该事务所检测到网络中存在异常活动。经调查,黑客通过未授权访问获取了存储在事务所网络中的部分文件和数据。尽管事务所已经采取了措施保障网络安全并聘请了专门的网络安全公司进行深入调查,但直到2024年12月,事务所才确认了受影响的部分人群。
https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/8fe1643f-846d-45b5-bc4f-8d3c7a9a8fee.html
6 Otelier数据泄露暴露数百万酒店客人信息
酒店管理平台Otelier报告遭遇数据泄露,黑客通过盗取其Amazon S3云存储中的凭证,窃取了包括万豪、希尔顿和凯悦等知名酒店品牌的客人个人信息和预订数据。据称,黑客在2024年7月至10月期间持续访问Otelier系统,盗取了近8TB的数据。Otelier确认该事件后,已采取措施确保系统安全,并与受影响客户进行沟通。调查显示,黑客通过窃取Otelier员工的登录凭证,进一步访问了S3存储桶并下载了大量数据。泄露的资料包括酒店客户姓名、地址、电话和电子邮件地址等个人信息,但没有密码和账单信息被窃取。
https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of-millions/
页:
[1]