每日安全简讯(20220603)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布针对NFT艺术家的窃密活动的分析报告
自今年4月以来,安天CERT监测到多起针对非同质化代币(Non-Fungible Token,以下简称NFT)艺术家的窃密活动,目前已出现多个受害者。根据攻击手法、C2地址等特征将其关联为同一攻击组织发起的规模化窃密行动,由于攻击者的主要目标为NFT艺术品,安天将该活动命名为“猎图行动”。攻击者伪装成移动游戏开发公司PlayMe Studio、NFT项目“赛博朋克猿高管”等企业的工作人员,通过ArtStation、Pixiv、DeviantArt等艺术创作社交平台发送招聘信息。攻击信息中均包含一个指向下载页面的链接,受害者可从该页面下载一个压缩包。压缩包中的内容除了多张作为示例的图片,还包括伪装为图片的窃密木马。在隐藏后缀名的情况下,极易被当成图片点击执行。
https://mp.weixin.qq.com/s/JEWE5WV_M0kbkYsRjBzLjg
2 欧洲刑警组织与11个国家一起查封了FluBot恶意软件
欧洲刑警组织宣布,它与十一个国家合作,打击了活跃的Android恶意软件FluBot背后的团伙。自2020年以来,FluBot恶意软件已被指控感染了至少6万台设备,其中大多数受害者位于西班牙。去年,执法机构在巴塞罗那进行了几次突击搜查,以打击背后的组织,但这款恶意软件继续在芬兰、德国、英国和日本蔓延。欧洲刑警组织说,在澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士和美国的执法部门对该团伙展开调查后,荷兰警方于今年5月破坏了这款恶意软件背后的基础设施。
https://therecord.media/europol-shuts-down-flubot-malware-operation-alongside-11-countries/
3 1200多个不安全的Elasticsearch数据库遭勒索攻击
Secureworks反威胁部门的安全研究人员最近发现,超过1200个基于云计算的Elasticsearch数据库的数据已被清除。攻击者要求受害者向两个指定的比特币地址之一汇款,以换取数据恢复。Secureworks表示:“攻击者可能使用了一种自动脚本来识别易受攻击的数据库,清除数据,并释放勒索信。”因此,很可能数据已经丢失,赎金现在只是一个骗局。Secureworks表示:“虽然攻击者可以使用像Elasticdump这样的工具来窃取数据,但从1200个数据库中窃取数据的成本将非常昂贵。因此,数据很可能没有备份,支付赎金也无法恢复数据。”
https://www.govinfosecurity.com/held-to-ransom-1200-unsecured-elasticsearch-databases-a-19177
4 匿名博客平台Telegraph正被网络钓鱼者积极利用
Telegram的匿名博客平台Telegraph正被网络钓鱼分子积极利用,他们利用该平台宽松的政策建立临时登陆页,导致账户凭证被盗。Telegraph是一个博客平台,任何人都可以发布任何内容,而无需创建账户或提供任何身份信息。已发布的 Telegraph贴子会生成一个链接,威胁参与者可以以他们选择的任何方式分发该链接,但没有将这些帖子推广到社区的中心位置。此外,由于Telegraph的编辑器支持添加图片、链接,并提供文本格式选项,人们可以让博客文章看起来像一个网页,包括登录表单。
https://www.bleepingcomputer.com/news/security/telegram-s-blogging-platform-abused-in-phishing-attacks/
5 Korenix JetPort工业串行设备服务器存在后门帐户
Korenix JetPort工业串行设备服务器有一个后门帐户,可能被恶意黑客滥用,以攻击工业组织,但供应商表示,客户支持需要该帐户。这个被追踪为CVE-2020-12501的后门账户的存在是由奥地利网络安全咨询公司SEC consulting在2020年发现的,但在经过漫长的披露过程后,供应商表示不会删除该账户,直到现在才公开。有问题的帐户可以被网络上的攻击者利用来访问设备的操作系统并获得完全控制。攻击者可以重新配置设备,并可能获得连接到服务器的其他系统的访问权。研究人员在Korenix JetPort 5601V3产品中发现了该问题,该产品专为工业环境中的连接而设计。
https://www.securityweek.com/vendor-refuses-remove-backdoor-account-can-facilitate-attacks-industrial-firms
6 美国司法部查获了3个用于出售被盗数据和DDoS服务的域名
美国司法部(DoJ)宣布,查获了三个域名,这些域名被网络犯罪分子用来交易窃取的个人信息,并为利用分布式拒绝服务(DDoS)攻击提供便利。这些包括weleakinfo[.]to、ipstress[.]in和ovh-booter[.]com。前者允许其用户传输被黑的个人数据,并提供一个可搜索的数据库,其中包含从超过1万次数据泄露中非法积累的信息。该数据库包含70亿条索引记录,其中包括在线帐的姓名、电子邮件地址、用户名、电话号码和密码。
https://thehackernews.com/2022/06/doj-seizes-3-web-domains-used-to-sell.html
页:
[1]