赛欧思一周资讯分类汇总(2024-08-26 ~ 2024-08-31)

一周资讯分类汇总：

1、勒索事件：

哈利伯顿网络攻击与 RansomHub 勒索软件团伙有关
RansomHub 勒索软件团伙是最近对石油和天然气服务巨头哈里伯顿公司发动网络攻击的幕后黑手，这次攻击破坏了该公司的 IT 系统和业务运营。

来源: BleepingComputer

RansomHub 勒索软件自 2 月份以来已入侵 210 名受害者的电脑
自 2024 年 2 月出现以来，RansomHub 勒索软件附属公司已入侵了 200 多名受害者，他们来自美国的多个重要基础设施部门。

来源: BleepingComputer

伊朗黑客与勒索软件团伙合作勒索被入侵机构
一个名为 "先锋小猫"（Pioneer Kitten）的伊朗黑客组织正在入侵美国各地的国防、教育、金融和医疗机构，并与多个勒索软件运营机构的附属机构合作勒索受害者。

来源: BleepingComputer

2、攻击事件：

网络攻击后，DICK's 关闭电子邮件并锁定员工账户
美国最大的体育用品零售连锁店迪克体育用品公司（DICK'S Sporting Goods）披露，在上周三发现的一次网络攻击中暴露了敏感信息。

来源: BleepingComputer

黑客利用 AppDomainManager 注入技术在 Windows 上执行恶意软件
网络安全专家观察到，利用一种相对未知的技术（称为 AppDomainManager Injection）在 Windows 系统上执行恶意软件的攻击激增。攻击通常以分发 ZIP 文件开始，ZIP 文件中包含一个恶意 MSC 文件，打开后会触发攻击。

来源: Cyber Security News

西雅图-塔科马机场 IT 系统因网络攻击而瘫痪
西雅图-塔科马国际机场证实，上周末发生的预订登记系统中断和航班延误事件很可能是由网络攻击造成的。

来源: BleepingComputer

3、漏洞情报：

AVTECH 闭路电视系统中的 0day漏洞将关键基础设施暴露给 Mirai 僵尸网络
Akamai 的研究人员发现， Mirai 加密挖矿程序僵尸网络活动正在利用之前披露的各种漏洞，但特别关注的是 CVE-2024-7029 下跟踪的 AVTECH 闭路电视（CCTV）摄像机中的 0day命令注入漏洞。

来源: 安全客

漏洞预警 | 同享人力资源管理系统存在SQL注入漏洞
同享人力资源管理系统 TXEHR V15 的 /Service/SFZService.asmx 接口多个实例存在SQL注入漏洞，攻击者除了可以利用SQL注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

来源: CN-SEC 中文网

Perl 模块安装程序存在严重漏洞，攻击者可截获流量
在 App::cpanminus (cpanm) 中发现了一个关键漏洞，这是一个广泛用于下载和安装 Perl 模块的工具。该漏洞（CVE-2024-45321）使用户面临潜在的网络威胁。它允许攻击者在模块安装过程中拦截和操纵流量。

来源: GBHackers

俄罗斯 APT29 黑客使用间谍软件供应商创建的 iOS 和 Chrome 浏览器漏洞
据观察，俄罗斯国家支持的 APT29 黑客组织在 2023 年 11 月至 2024 年 7 月的一系列网络攻击中使用了商业间谍软件供应商创建的相同 iOS 和 Android 漏洞。

来源: BleepingComputer

韩国黑客利用 WPS Office 0day部署恶意软件
与韩国结盟的网络间谍组织 APT-C-60 一直在利用 Windows 版 WPS Office 中的 0day代码执行漏洞，在东亚目标上安装 SpyGlace 后门。

来源: BleepingComputer

美国 CISA 将 Apache OFBiz 漏洞列入已知漏洞目录
美国网络安全和基础设施安全局 (CISA) 将 Apache OFBiz 不正确授权漏洞 CVE-2024-38856 （CVSS 得分为 9.8）添加到其已知已暴露漏洞 (KEV) 目录中。

来源: Security Affairs

谷歌将 Chrome 浏览器漏洞悬赏奖金提高至 25 万美元
谷歌已将通过其漏洞奖励计划报告的谷歌 Chrome 浏览器安全漏洞的报酬提高了一倍多，现在单个漏洞的最高奖励可能超过 25 万美元。

来源: BleepingComputer

WPML WordPress 插件中的严重漏洞影响了超 100 万个网站
适用于 WordPress 的 WPML 多语言 CMS 插件安装在超过 100 万个网站上。WPML 插件中经过身份验证的（Contributor+）远程代码执行（RCE）漏洞，跟踪 CVE-2024-6386（CVSS 评分为 9.9），可能允许入侵受影响的网站。

来源: 安全客

罗克韦尔自动化公司 ThinManager 存在漏洞，攻击者可执行远程代码
罗克韦尔自动化公司的 ThinManager ThinServer 被发现包含多个关键漏洞，攻击者可利用这些漏洞执行远程代码。这些漏洞被识别为 CVE-2024-7986、CVE-2024-7987 和 CVE-2024-7988。

来源: GBHackers

Fortra FileCatalyst 工作流中发现严重 SQL 注入漏洞
Fortra 已紧急发布修补程序，以解决其 FileCatalyst Workflow 软件中的两个关键 SQL 注入漏洞，即 CVE-2024-6632 和 CVE-2024-6633。这些漏洞影响到 5.1.6 Build 139 以下的版本，有可能导致未经授权的数据库修改和信息泄露。

来源: Cyber Security News

存在严重供应链安全风险，MLOps平台曝20多个漏洞
网络安全研究人员警告称，在发现 20多个针对 MLOps 平台的漏洞后，机器学习（ML）软件供应链存在安全风险，这些漏洞被描述为固有和实现方面的缺陷，可能会产生严重后果，从任意代码执行到加载恶意数据集。

来源: FreeBuf

Vesra 文件类型上传漏洞让攻击者从 MSP 获取系统管理访问权限
SD-WAN 解决方案的重要组件 Versa Director 中发现了一个关键漏洞，该漏洞被正式命名为 CVE-2024-39717，允许攻击者上传潜在的恶意文件，并授予他们系统管理员权限。

来源: GBHackers

Apache 漏洞让攻击者从 Unix 系统中窃取敏感数据
最近披露的 Apache Portable Runtime (APR) 库中的一个漏洞可能会暴露敏感的 Unix 平台应用程序数据，该漏洞被认定为 CVE-2023-49582，其原因是共享内存段的权限不严格，可能允许未经授权的本地用户访问敏感信息。

来源: Cyber Security News

谷歌今年发现第十个 Chrome 浏览器 0day漏洞
今天，谷歌透露，它修补了 2024 年攻击者或安全研究人员在黑客竞赛中在野外利用的第十个 0day漏洞。

来源: BleepingComputer

Traccar GPS 系统存在重大缺陷，用户可能遭受远程攻击
开源 Traccar GPS 跟踪系统被披露存在两个安全漏洞，在某些情况下，未经认证的攻击者有可能利用这两个漏洞实现远程代码执行。漏洞编号是 CVE-2024-24809 和 CVE-2024-31214

来源: The Hacker News

Versa 修复了在攻击中被利用的 Director 0day漏洞
Versa Networks 修复了一个在野外被利用的 0day漏洞，该漏洞允许攻击者利用 Versa Director GUI 中的无限制文件上传漏洞上传恶意文件。

来源: BleepingComputer

SonicWall 警告 SonicOS 存在严重访问控制缺陷
SonicWall 的 SonicOS 存在一个重要的访问控制漏洞，攻击者可借此未经授权访问资源或导致防火墙崩溃。

来源: BleepingComputer

4、信息泄露：

以色列大型医疗基金被指遭窃 130 万份记录曝光
在一起重大安全漏洞事件中，一名威胁行为者声称从以色列一家大型医疗基金获取了 130 万客户的个人数据。帖子称，被泄露的数据包括大量敏感的个人信息，该威胁行为者以 2 BTC 的价格出售整个数据集。

来源: Daily Dark Web

RaHDit 黑客发布了 77万名"亚速"战士的数据
俄罗斯黑客组织 RaHDit（"邪恶的俄罗斯黑客"）公布了 "亚速"纳粹旅（一个在俄罗斯被取缔的恐怖组织）最新组成的 770000 名成员的数据，包括 4000 多张照片。

来源: Izvestia(RU)

BlackSuit 勒索软件从软件供应商处窃取了 95 万份数据
Young Consulting 正在向 954177 人发送数据泄露通知，这些人的信息在 2024 年 4 月 10 日的 BlackSuit 勒索软件攻击中暴露。

来源: BleepingComputer

Park'N Fly 数据泄露导致约 100 万客户受到影响
Park'N Fly 是加拿大一家颇受欢迎的机场停车服务公司，该公司已确认发生了一起数据泄露事件，可能暴露了约 100 万客户的个人信息，包括姓名、电子邮件和邮件地址，以及Aeroplan和CAA号码，但不包含财务信息。

来源: The Cyber Express

全球现场服务管理提供商在线披露近 3200 万份文件
全球现场服务管理提供商 ServiceBridge 在网上曝光了近 3200 万份文档，其中包括发票、合同和协议，曝光的数据库没有密码保护，包含近 3200 万个文件，这些文件主要是 PDF 和 HTML 格式，总大小为 2.68 TB。

来源: Information Security Buzz

Patelco 通知 72.6 万客户勒索软件数据泄露事件
Patelco Credit Union 警告客户，今年早些时候，个人数据在 RansomHub 勒索软件攻击中被盗，导致数据泄露。

来源: BleepingComputer

威胁者声称出售 Leal.co 的数据
一名威胁行为者声称对影响 Leal.co 的数据泄露事件负责，据称，该事件暴露了超过 142 万条交易记录和 18.5 万个客户评级，被泄露的数据包括客户姓名、身份证号码、交易日期、评级和评论。

来源: Daily Dark Web

5、僵尸网络：

Mirai 僵尸网络发现新漏洞，能同时被攻守双方利用
最近，Mirai 的命令和控制服务器中发现了一个新漏洞，该漏洞允许攻击者执行 DDoS 攻击，这种 DDoS 攻击的存在是由于 CNC 服务器上的会话管理不当造成的，同时也能被安全人员用来进行反制。

来源: FreeBuf

6、金融事件：

CrowdStrike在财报电话会上详细说明719蓝屏事件后的安全改进措施
719事件发生后，CRWD的股价从343.05美元下跌至8月2日的最低点217.89美元，下滑了36.5%，目前股价刚恢复到260美元左右。

来源: FreeBuf

Check Point 收购 Cyberint Technologies 以增强威胁情报能力
Check Point 软件技术有限公司宣布了一项收购 Cyberint Technologies 的最终协议。此次战略收购旨在通过将 Cyberint 先进的外部风险管理解决方案整合到 Check Point Infinity 平台，增强安全运营中心（SOC）的能力，并扩展其管理威胁情报产品。

来源: Cyber Security News

荷兰当局因数据传输漏洞对优步处以 2.9 亿欧元罚款
荷兰数据保护监督机构对打车巨头优步（Uber）处以 2.9亿欧元（约合 3.24亿美元）的罚款。这一处罚源于 Uber 被指控在没有充分保护的情况下将其欧洲司机的个人信息转移到美国，违反了 GDPR 法规。

来源: Dev Discourse

7、恶意软件：

假冒的 Palo Alto GlobalProtect 被用来诱骗企业进入后门
威胁行为体针对中东组织使用伪装成合法 Palo Alto GlobalProtect 工具的恶意软件，该工具可窃取数据并执行远程 PowerShell 命令，以进一步渗透内部网络。

来源: BleepingComputer

新型 LummaC2 恶意软件变种利用 PowerShell 和混淆技术窃取数据
Ontinue 发现了一个新的 LummaC2 恶意软件变种，该变种使用 PowerShell 进行初始感染，并利用混淆和进程注入来窃取敏感数据。该版本利用先进技术检测人类用户，对网络安全构成重大风险。

来源: HackRead

新型 Tickler 恶意软件被用来入侵美国政府和国防机构的后门程序
伊朗黑客组织 APT33 已使用新的 Tickler 恶意软件对美国和阿拉伯联合酋长国的政府、国防、卫星、石油和天然气部门的组织网络进行了后门入侵。

来源: BleepingComputer

恶意软件入侵 Pidgin 信使的官方插件库
Pidgin 消息应用程序将 ScreenShareOTR 插件从其官方第三方插件列表中删除，因为发现该插件被用于安装键盘记录程序、信息窃取程序和恶意软件，而这些程序通常用于获取企业网络的初始访问权限。

来源: BleepingComputer

又一全新恶意软件曝光！专门针对Windows、Linux 和 macOS 用户
近日，网络安全研究人员发现了一个利用 “Cheana Stealer”恶意软件的复杂网络钓鱼活动，该恶意软件是通过一个 VPN 钓鱼网站传播的，主要目标是 Windows、Linux 和 macOS。

来源: FreeBuf

新型恶意软件采用疯狂混淆技术躲避反病毒软件检测
安全研究人员最近发现了一种新的恶意软件，它采用先进的混淆技术来逃避杀毒软件的检测。该恶意软件封装在一个名为 "crypted.bat"的文件中，主要的防病毒引擎都无法检测到它。

来源: Cyber Security News

隐秘的 "sedexp" Linux 恶意软件逃避检测达两年之久
自 2022 年以来，一款名为 "sedexp"的隐身 Linux 恶意软件一直在利用一种尚未纳入 MITRE ATT&CK 框架的持久性技术逃避检测。

来源: BleepingComputer

8、钓鱼事件：

微软 Sway 在大规模二维码网络钓鱼活动中被滥用
一个大规模的 QR 码钓鱼活动滥用 Microsoft Sway（一种用于创建在线演示的云工具）来托管登陆页面，诱骗 Microsoft 365 用户交出他们的凭据。

来源: BleepingComputer

9、国际安全情报：

员工因敲诈勒索将 Windows 管理员锁在 254 台服务器外被捕
总部位于新泽西州萨默塞特县的一家工业公司的前核心基础架构工程师在一次针对其雇主的勒索阴谋中将 Windows 管理员锁定在 254 台服务器之外，随后被捕。

来源: BleepingComputer

美国悬赏 250 万美元通缉与 Angler 漏洞利用工具包有关的黑客
美国国务院和特勤局宣布悬赏 250 万美元征集白俄罗斯国民沃洛迪米尔-卡达里亚（Volodymyr Kadariya）（Владимир Кадария）的网络犯罪活动线索。

来源: BleepingComputer

PoorTry Windows 驱动程序进化为全功能 EDR 雨刷器
多个勒索软件团伙用来关闭端点检测和响应（EDR）解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变成 EDR 擦除器，会删除对安全解决方案的运行至关重要的文件，并增加恢复难度。

来源: BleepingComputer

美国法警局对勒索软件团伙的漏洞索赔提出异议
美国法警局（USMS）周一在网络犯罪团伙的泄密网站上被列为新的受害者，并否认其系统被猎人国际勒索软件团伙入侵。

来源: BleepingComputer

Windows 降级工具让您 "解除" Windows 系统补丁
SafeBreach 安全研究员 Alon Leviev 发布了他的 Windows 降级工具，该工具可用于降级攻击，在最新的 Windows 10、Windows 11 和 Windows Server 系统中重新引入旧漏洞。