每日安全简讯(20250201)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Lazarus组织利用React控制面板对全球发起网络攻击
Lazarus组织在其全球网络攻击活动中,采用了一种基于React的Web管理面板,控制其指挥与控制(C2)基础设施,从而实现了对所有攻击行动的集中监管。根据研究人员报告,这一Web管理面板通过React应用和Node.js API构建,广泛部署在各个C2服务器上,即使攻击者使用不同的有效载荷和混淆技术以逃避检测,但管理平台的结构保持一致。此平台不仅帮助攻击者组织和管理被盗数据,还能监控其控制的受害主机,处理有效载荷的传递。该平台与名为“幽灵电路行动”(Operation Phantom Circuit)的供应链攻击活动相关,攻击对象主要是加密货币行业和开发者,受害者通过运行嵌入恶意代码的合法软件包而被植入后门。
https://securityscorecard.com/wp-content/uploads/2025/01/Operation-Phantom-Circuit-Report_012725_03.pdf
2 Aquabotv3恶意软件利用Mitel漏洞扩展攻击范围
研究人员发现,Mirai变种恶意软件Aquabot的最新版本Aquabotv3正在利用Mitel SIP电话中的CVE-2024-41710命令注入漏洞进行攻击。此漏洞影响Mitel 6800系列、6900系列及6900w系列SIP电话,允许攻击者在未正确清理参数的情况下,通过认证后进行远程命令执行。Aquabotv3相比前两个版本加入了新的功能,其能够检测到终止信号并将信息回传给指挥与控制(C2)服务器,这一机制有助于攻击者更好地监控其攻击活动。此外,Aquabotv3还利用了一个通过GitHub发布的概念验证代码(PoC),这是首次记录到该漏洞被利用进行攻击。一旦成功入侵设备,Aquabotv3会下载并安装恶意载荷,确保持久性后,通过C2接收命令,并尝试利用其他漏洞扩展传播范围,包括TP-Link、Linksys和Dasan路由器等设备的漏洞。此外,Aquabotv3还会通过暴力破解SSH/Telnet凭证来感染同一网络中的其他设备。该恶意软件的目标是将感染的设备用于分布式拒绝服务(DDoS)攻击,操作员还通过Telegram宣传其DDoS攻击能力,向外界展示其在网络安全测试中的应用。
https://www.akamai.com/blog/security-research/2025-january-new-aquabot-mirai-variant-exploiting-mitel-phones
3 Tria Stealer恶意软件利用婚礼邀请攻击安卓用户
自2024年中期以来,一项名为“Tria Stealer”的恶意Android应用程序(APK)活动开始在马来西亚和文莱蔓延,主要通过伪装成婚礼邀请的社交工程手段诱骗用户安装该恶意软件。该活动通过Telegram机器人将用户的个人信息、短信、通话记录、邮件和应用信息等窃取数据传送至攻击者的控制服务器。调查发现,该活动的背后可能是一个讲印尼语的威胁行为者,因为在恶意软件样本和控制服务器的Telegram机器人命名中发现了印尼语相关的痕迹。Tria Stealer能够窃取受害者的WhatsApp、Telegram及其他账户的信息,进而劫持这些通讯账号,通过向受害者联系人发送伪造的转账请求进行诈骗。此外,恶意软件还能够捕捉并利用来自短信中的安全码(如TAC和OTP)来接管其他在线账户。
https://securelist.com/tria-stealer-collects-sms-data-from-android-devices/115295/
4 黑客劫持WordPress网站传播Windows和Mac恶意软件
安全研究人员发现,黑客正在利用过时的WordPress版本和插件,篡改数千个网站,试图诱导访问者下载并安装恶意软件。此次攻击仍在持续进行中,黑客通过这一“喷洒支付”(spray and pay)式的攻击,广泛传播能够窃取Windows和Mac用户密码及其他个人信息的恶意软件。受攻击的WordPress网站中,有些是互联网上访问量极大的知名网站。当用户访问这些网站时,网页内容会迅速改变,显示一个虚假的Chrome浏览器更新页面,要求用户下载并安装更新以继续浏览网站。若用户同意,网站会诱导用户下载伪装成更新的恶意文件,文件根据访问者使用的操作系统(Windows或Mac)不同而有所不同。
https://cside.dev/blog/10-000-wordpress-websites-found-delivering-macos-and-microsoft-malware
5 Laravel管理包Voyager存在一键远程代码执行漏洞
研究人员发现,开源PHP包Voyager(用于管理Laravel应用程序)存在三个漏洞,其中包括一个可被攻击者利用的远程代码执行(RCE)漏洞。这些漏洞未得到修复,攻击者只需诱使已认证的Voyager用户点击恶意链接,即可发动攻击。SonarSource的安全研究团队在对Voyager进行常规扫描时,发现了第一个漏洞——任意文件写入漏洞,进而发现了其他安全问题。尽管SonarSource团队从2024年9月起多次向Voyager维护者报告这些问题,但在90天的披露期内未收到回复。考虑到漏洞仍未修复,研究人员建议Voyager用户仅限可信用户访问,限制“browse_media”权限,使用基于角色的访问控制(RBAC),并加强服务器级别的安全措施,如禁用PHP文件执行和严格的MIME类型验证。
https://www.sonarsource.com/blog/the-tainted-voyage-uncovering-voyagers-vulnerabilities/
6 IT服务供应商遭黑客攻击导致29.3万患者数据泄露
宾夕法尼亚州的阿勒格尼健康网络(AHN)及其IT服务供应商IntraSystems正面临至少七起联邦集体诉讼,起因是1月17日爆发的黑客事件,导致约29.3万名患者的信息被盗。此次事件涉及IntraSystems管理的AHN系统,该系统支持AHN的家庭医疗设备和家庭输液服务。黑客事件始于2024年10月11日,AHN直到2024年11月19日才发现此事件。未经授权的用户访问了AHN通过IntraSystems托管的系统,并盗取了患者的敏感信息,可能包括姓名、出生日期、地址、社会安全号码、财务账户信息、健康保险号码、治疗信息以及医疗设备序列号等。事件发生后,AHN立即采取了措施,包括关闭受影响系统、断开与其他系统的连接以防止进一步入侵,并通知执法部门。
https://www.govinfosecurity.com/services-vendor-hack-affects-293000-ahn-patients-a-27401
页:
[1]