每日安全简讯(20250124)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 IPany VPN遭供应链攻击传播SlowStepper恶意软件
据研究人员披露,韩国VPN服务商IPany因其安装程序被植入恶意后门“SlowStepper”而成为供应链攻击的目标,背后黑客组织为PlushDaemon。自2023年11月起,受感染的安装程序(IPanyVPNsetup.exe)通过公司官网提供的压缩包传播,安装时同时部署正常的VPN程序和恶意文件(svcghost.exe),后者通过注册表持久化。SlowStepper通过伪装为图片文件(winlogin.gif)加载恶意DLL,结合Python和Go工具进行系统信息收集、音视频录制、浏览器数据窃取等多种间谍活动。受攻击的受害者包括韩国一家半导体公司及一家软件开发公司,感染范围可能广及所有下载过安装程序的用户。
https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-new-china-aligned-apt-group-plushdaemon-and-its-supply-chain-attack-on-south-korean-vpn-service/?srsltid=AfmBOop7vcUYmkFvBrf_J8PKsaLV6p3JPGaqLCZCgtxilvhs1wxyNuAl
2 Murdoc僵尸网络利用IoT漏洞发动DDoS攻击
研究人员警告,一种名为Murdoc的Mirai变种僵尸网络正在大规模利用AVTECH IP摄像头和华为HG532路由器的漏洞(如CVE-2017-17215和CVE-2024-7029),已感染至少1370个设备,主要集中在马来西亚、墨西哥、泰国、印尼和越南。攻击自2024年7月开始,通过漏洞植入恶意shell脚本加载僵尸网络恶意软件,目标是利用受感染设备实施分布式拒绝服务(DDoS)攻击。Murdoc僵尸网络的攻击范围广泛,包括电信、银行、云计算和游戏行业,其僵尸网络命令支持多种DDoS攻击方式并能启用代理服务。
https://blog.qualys.com/vulnerabilities-threat-research/2025/01/21/mass-campaign-of-murdoc-botnet-mirai-a-new-variant-of-corona-mirai
3 攻击者利用社交平台虚假账号传播恶意PowerShell脚本
研究人员发现,攻击者利用与“丝绸之路”创始人罗斯·乌布里希特相关的新闻,在X平台伪装为乌布里希特的虚假账号,诱导用户加入恶意Telegram频道。该频道要求用户进行“身份验证”,通过运行PowerShell命令完成所谓的验证码验证。用户执行命令后,设备会下载并运行恶意脚本,进一步获取ZIP文件,其中包含可能是Cobalt Strike加载器的恶意程序(identity-helper.exe)。
https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/
4 Conduent因网络安全事件导致服务中断
美国商业服务巨头和政府承包商Conduent证实,近期的服务中断由一起网络安全事件引发。此次事件影响了包括威斯康星儿童与家庭部和俄克拉荷马州人类服务局在内的多个美国州机构,导致依赖电子转账或EBT卡的支付服务出现广泛问题。Conduent表示,已在事件发生后两天内恢复系统,并采取措施遏制攻击。然而,关于是否存在数据泄露或赎金要求,公司未提供进一步细节,也未向美国证券交易委员会提交8-K报告披露此事件。
https://www.bleepingcomputer.com/news/security/conduent-confirms-cybersecurity-incident-behind-recent-outage/
5 Cisco修复已公开PoC代码的ClamAV漏洞
Cisco发布安全更新,修复了ClamAV中编号为CVE-2025-20128的拒绝服务(DoS)漏洞。该漏洞由OLE2解密例程中的堆缓冲区溢出引发,允许未经认证的远程攻击者通过提交特制OLE2文件,导致ClamAV扫描进程崩溃,从而中断或延迟后续扫描操作。尽管此漏洞的概念验证(PoC)代码已公开,Cisco表示目前尚无在野利用的证据。此外,该漏洞仅影响扫描进程,不会破坏设备的整体稳定性。受影响产品包括适用于Linux、Mac和Windows平台的Secure Endpoint Connector软件。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-ole2-H549rphA
6 WordPress房地产插件曝严重零日漏洞可获取管理员权限
WordPress房地产主题RealHome及插件Easy Real Estate存在两个严重零日漏洞(CVE-2024-32444和CVE-2024-32555),允许未经认证的用户获取管理员权限。这些漏洞于2024年9月由Patchstack发现,但开发商InspiryThemes未回应多次联系,也未在发布的更新中修复漏洞。第一个漏洞通过不安全的用户注册功能,可让攻击者指定管理员角色直接获取网站控制权;第二个漏洞则利用社交登录功能,允许攻击者使用管理员邮箱登录,无需密码。两者的CVSS评分均为9.8,影响超过32,600个网站。由于漏洞尚未修复,建议网站管理员立即禁用相关主题和插件,并限制用户注册以降低风险。
https://www.bleepingcomputer.com/news/security/critical-zero-days-impact-premium-wordpress-real-estate-plugins/
页:
[1]