免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 攻击者利用Cloudflare的开发者域名发起攻击活动
Cloudflare的“pages.dev”和“workers.dev”域名,通常用于部署网页和支持无服务器计算,但目前正成为网络犯罪分子的攻击工具,用于开展钓鱼和其他恶意活动。据网络安全公司Fortra的报告,2024年这些域名的滥用量相比2023年增长了100%到250%。研究人员认为,黑客利用Cloudflare的可信品牌、服务可靠性、低使用成本以及反向代理功能来提升恶意活动的合法性和有效性。Cloudflare Pages原本是前端开发者用于在其全球内容分发网络(CDN)上构建、部署和托管网站的平台,但现在却被黑客用来托管中介钓鱼页面,引导受害者访问伪造的Microsoft Office365登录页面。Fortra还发现,Cloudflare Workers平台也被广泛滥用,黑客通过它进行分布式拒绝服务(DDoS)攻击、部署钓鱼网站、注入恶意脚本并进行账号密码暴力破解等恶意活动。
https://emailsecurity.fortra.com/blog/cloudflares-pagesdev-and-workersdev-domains-increasingly-abused-phishing
2 警方在监控犯罪分子通讯后摧毁了Matrix加密聊天平台
国际执法行动成功摧毁了Matrix加密聊天平台,该平台长期被网络犯罪分子用来协调非法活动,并逃避警方监控。需要注意的是,Matrix这一名字与一个合法的开源、去中心化的实时通信协议相同,后者仍然是合法可用的。此次行动涉及多个欧洲国家,包括法国、荷兰、意大利、立陶宛、西班牙和德国,由欧洲刑警组织(Europol)和欧洲司法合作组织(Eurojust)协调。警方追踪到Matrix平台的线索源于2021年7月,荷兰记者Peter R. de Vries遇袭后,警方从枪手的手机中发现该手机被定制以连接Matrix加密通讯服务。通过荷兰和法国的联合调查团队(JIT),警方成功拦截并分析了2.3百万条通过Matrix平台发送的消息,消息覆盖33种语言。然而,警方并未透露具体的技术细节。Europol在公告中表示:“在三个月的时间里,当局成功监控了这些犯罪分子的通讯,这些信息现在将用于支持其他调查。”
https://www.bleepingcomputer.com/news/security/police-seize-matrix-encrypted-chat-service-after-spying-on-criminals/
Police seize Matrix encrypted chat service after spying on criminals.pdf
(3.22 MB, 下载次数: 7)
3 WhatsUp Gold的一个关键远程代码执行漏洞的PoC已被公开
Progress WhatsUp Gold中的一个关键远程代码执行(RCE)漏洞的概念验证(PoC)已被公开,强烈建议用户尽快安装最新的安全更新以防止攻击。该漏洞被标记为CVE-2024-8785(CVSS v3.1评分:9.8),由Tenable在2024年8月中旬发现。漏洞存在于WhatsUp Gold 2023.1.0版本及之前版本的NmAPI.exe进程中。NmAPI.exe进程提供了一个网络管理API接口,监听并处理传入请求。由于对输入数据的验证不足,攻击者可以发送特制请求,通过UpdateFailoverRegistryValues操作修改或覆盖敏感的Windows注册表键,进而控制WhatsUp Gold配置文件的读取路径。此漏洞的利用无需身份验证,且由于NmAPI.exe服务可通过网络访问,攻击者可以远程执行恶意代码,给系统带来严重风险。管理WhatsUp Gold的系统管理员应尽快升级至版本24.0.1,以避免受到攻击。
https://www.tenable.com/security/research/tra-2024-48
4 Veeam警告Service Provider Console中存在严重RCE漏洞
Veeam公司近日发布安全更新,修复了其Service Provider Console(VSPC)平台中的两项关键漏洞,其中包括一个严重的远程代码执行(RCE)漏洞。VSPC是一个用于远程管理BaaS(Backend as a Service)和DRaaS(Disaster Recovery as a Service)的平台,帮助服务提供商监控客户备份的健康状况以及管理虚拟环境、Microsoft 365和公共云工作负载。此次修复的首个漏洞(CVE-2024-42448)具有极高的风险(CVSS评分9.9),攻击者可通过VSPC管理代理机在未打补丁的服务器上执行任意代码。另一项漏洞(CVE-2024-42449)则允许攻击者窃取VSPC服务器服务账户的NTLM哈希,并利用此权限删除服务器上的文件。两项漏洞均要求管理代理已获得目标服务器的授权。Veeam指出,所有使用VSPC 8.1.0.21377及之前版本的用户,包括7.x版本的用户,均应立即更新至最新版本。近期的攻击事件表明,及时修补Veeam漏洞对于防止恶意攻击至关重要,尤其是在Veeam的备份和复制软件(VBR)中,也曾发现类似的RCE漏洞被用于部署勒索病毒。
https://www.veeam.com/kb4679
5 美国联邦贸易委员会禁止数据经纪商出售美国人敏感位置数据
美国联邦贸易委员会(FTC)近日宣布禁止数据经纪商Mobilewalla和Gravy Analytics收集和出售与敏感位置相关的美国人定位数据,这些敏感位置包括教堂、医疗设施、军事基地和学校。FTC指出,Mobilewalla和Gravy Analytics非法收集并出售与消费者访问宗教场所和健康相关地点的定位数据。弗吉尼亚州的Gravy Analytics及其子公司Venntel利用这些数据开发产品和服务,向客户提供至少三年的历史数据,包括精准的移动定位信息。客户,包括政府机构如美国国税局(IRS)、缉毒局(DEA)、联邦调查局(FBI)和美国边境保护局(CBP)等,能够获取在特定事件中出现的用户广告ID列表或在某个地点的定位信息。根据FTC的提案,Gravy Analytics和Venntel将被禁止在任何产品或服务中出售、披露或使用敏感位置数据,并且必须建立敏感数据位置管理计划。Mobilewalla也将被禁止收集在线广告拍卖中的消费者数据,除非用于拍卖本身。两家公司还需销毁所有历史定位数据及相关数据产品。
https://www.bleepingcomputer.com/news/security/ftc-bans-data-brokers-from-selling-americans-sensitive-location-data/
6 德国警方关闭最大网络犯罪市场
德国警方近日成功关闭了该国最大的网络犯罪市场——“Crimenetwork”,并逮捕了其管理员,该平台长期用于贩卖毒品、盗窃数据和提供非法服务。此次执法行动由法兰克福公共检察院、德国网络犯罪打击中心(ZIT)和联邦刑警(BKA)联合进行。Crimenetwork自2012年成立以来,已发展成一个规模庞大的德语地下市场,吸引了超过100家卖家和10万名用户,交易内容涵盖毒品、伪造文件等非法商品。该平台的运营通过比特币和门罗币等加密货币进行,平台从交易中抽取5%的手续费,并收取卖家订阅费和广告费用。根据BKA的统计,从2018年至2024年,该平台的交易额超过1000个比特币和20000个门罗币,价值约9300万欧元(9800万美元)。29岁的嫌疑人“Techmin”是该平台的技术专家,长期负责Crimenetwork的技术运作。警方表示,已获得大量用户和交易数据,可能会有更多逮捕行动展开。此次行动是德国近期反网络犯罪系列行动的一部分,紧接着11月初的“PowerOFF行动”和9月的加密货币交易平台查封。
https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2024/Presse2024/241203_PM_ZIT_Crimenetwork.html
致谢:感谢蔡书老师针对今日第二条简讯提供的PDF文档。
|