赛欧思一周资讯分类汇总(2024-09-16 ~ 2024-09-21)

一周资讯分类汇总：

1、勒索事件：

• 药品分销商 Cencora 向黑客支付 7500 万美元，为已知最大赎金

  据报道，药品分销商 Cencora(COR.US) 向发动网路攻击的黑客支付 7500 万美元赎金，是迄今为止已知的最大一笔网络勒索款项，Cencora 黑客赎金于今年3月分三期以比特币形式支付。

来源: CN-SEC 中文网




• Vanilla Tempest 黑客利用 INC 勒索软件攻击医疗保健行业

  微软称，它追踪到的一个名为 "香草暴风雨"（Vanilla Tempest）的勒索软件分支机构现在正通过 INC 勒索软件攻击美国医疗机构。

来源: BleepingComputer




• RobbinHood 勒索软件 c2c 工具由于操作失误被泄露

  一个威胁行为者宣布发布了由 RobbinHood 勒索软件组使用的关键 C2C 工具，据该行为者称，在对政府目标的攻击中，RobbinHood 运营操作者忽略了清理其影子文件，留下了敏感信息。

来源: CN-SEC 中文网




• 勒索软件团伙滥用微软 Azure 工具窃取数据

  BianLian和Rhysida等勒索软件团伙越来越多地使用微软的Azure Storage Explorer和AzCopy从被攻破的网络中窃取数据并存储到Azure Blob存储中。

来源: BleepingComputer




• RansomHub 勒索软件组织公开了从川崎欧洲汽车公司窃取的 487 GB 数据

  RansomHub 勒索软件组织公布了其据称从摩托车制造商川崎欧洲汽车公司 (KME) 窃取的 487 GB 数据。川崎欧洲汽车公司披露了这一事件，并告知客户该公司正在从 9 月初未成功的网络攻击中恢复。该公司表示，作为预防措施，服务器被暂时隔离，并启动清理过程以检查所有数据并处理任何潜在的感染。

来源: CN-SEC 中文网

2、攻击事件：

• X 黑客攻击狂潮助长了"$HACKED"加密代币的抽水式抛售

  一个 X 账户被黑客疯狂攻击，导致 $HACKED Solana 代币的 "抽水式抛售"计划大获成功，人们纷纷抢购这种代币。

来源: BleepingComputer




• 俄罗斯安全公司 "Dr.Web"遭入侵后断开所有服务器连接

  本周二，俄罗斯反恶意软件公司 Doctor Web（Dr.Web）披露了一个安全漏洞，该公司的系统在上周末遭到了网络攻击。

来源: BleepingComputer




• 建筑公司会计软件遭暴力攻击

  黑客通过暴力破解建筑行业广泛使用的基金会会计服务器上的高权限账户密码，入侵企业网络。

来源: BleepingComputer

3、漏洞情报：

• CISA 警告称阿帕奇 HugeGraph-Server 漏洞已被主动利用

  美国网络安全和基础设施局（CISA）在其已知漏洞（KEV）目录中增加了五个漏洞，其中一个是影响 Apache HugeGraph-Server 的远程代码执行（RCE）漏洞。

来源: BleepingComputer




• Red Hat 修补 OpenShift 重大层级漏洞

  Red Hat 今天针对容器应用平台 OpenShift 发布 4.13.50 版更新，修补2项重大层级漏洞 CVE-2024-45496、CVE-2024-7387，这些漏洞有可能让攻击者执行任意命令，或是提升权限，CVSS风险评分为9.9、9.1。

来源: iThome




• SolarWinds 修复了 Access Rights Manager 中的关键远程代码执行漏洞 CVE-2024-28991

  SolarWinds 发布了安全更新，以解决 SolarWinds Access Rights Manager （ARM） 中严重性的远程代码执行漏洞，该漏洞被跟踪为 CVE-2024-28991（CVSS 评分为 9.0）。如果被利用，此漏洞将允许经过 身份验证的用户滥用该服务，从而导致远程代码执行。

来源: CN-SEC 中文网




• D-Link公司修复了多个无线路由器模型中的三个关键远程执行命令（RCE）漏洞

  D-Link公司已经修复了三个严重漏洞，CVE-2024-45694、CVE-2024-45695、CVE-2024-45697三个漏洞，影响了三个无线路由器模型。这些漏洞可能允许攻击者远程执行任意代码或使用固定的凭证访问设备。

来源: CN-SEC 中文网




• Ivanti 警告说，CSA 的另一个关键漏洞已被利用进行攻击

  今天，Ivanti 警告称，威胁分子正在利用云服务设备 (CSA) 的另一个安全漏洞，针对少数客户发起攻击。

来源: BleepingComputer




• GitLab 修补了 CE 和 EE 版本中严重的 SAML 身份验证绕过漏洞

  GitLab 已发布修补程序，以解决影响社区版 (CE) 和企业版 (EE) 的关键漏洞，该漏洞可能导致身份验证绕过。该漏洞源于 ruby-saml 库（CVE-2024-45409，CVSS 得分：10.0），攻击者可利用该漏洞以任意用户身份登录受影响系统。

来源: The Hacker News




• Broadcom 修复了 VMware vCenter Server 严重缺陷 CVE-2024-38812

  Broadcom 发布安全更新，以解决 VMware vCenter Server 中一个可能导致远程代码执行的关键漏洞（CVE-2024-38812，CVSS 得分：9.8）。拥有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制网络数据包触发该漏洞，从而导致远程代码执行。

来源: Security Affairs




• CISA 就信息窃取恶意软件攻击中使用的 Windows 漏洞发出警告

  CISA 已下令美国联邦机构确保其系统安全，防止最近打上补丁的 Windows MSHTML 欺骗 0day漏洞被 Void Banshee APT 黑客组织利用。

来源: BleepingComputer




• 针对关键 Ivanti RCE 漏洞的漏洞代码已发布，立即修补

  Ivanti Endpoint Manager 中的一个关键远程代码执行 (RCE) 漏洞 CVE-2024-29847 的概念验证 (PoC) 漏洞利用程序现已公开发布，因此更新设备至关重要。

来源: BleepingComputer




• 重大漏洞影响数百万台 D-Link 路由器，立即修补！

  由于存在多个关键漏洞，数百万台 D-Link 路由器处于危险之中。安全研究员雷蒙德发现了这些漏洞，它们被分配了多个 CVE ID，对全球用户构成严重威胁。D-Link 已紧急发布固件更新，以降低这些风险。

来源: GBHackers




• Spring Framework 漏洞可让攻击者从系统中获取任何文件

  在 Spring Framework 中发现了一个新的漏洞，攻击者可能借此访问系统上的任何文件。该漏洞被追踪为 CVE-2024-38816，会影响使用功能 Web 框架 WebMvc.fn 或 WebFlux.fn 的应用程序。

来源: GBHackers




• 0day 攻击中滥用盲文 "空格"的 Windows 漏洞

  最近修复的 "Windows MSHTML欺骗漏洞"被追踪到 CVE-2024-43461 中，在被 Void Banshee APT 黑客组织用于攻击后，该漏洞现在被标记为已被利用。

来源: BleepingComputer




• 苹果 Vision Pro 曝出严重漏洞，黑客可通过用户眼动输入窃取信息

  近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。黑客可以通过分析虚拟化身的眼球运动或“凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容。

来源: FreeBuf

4、信息泄露：

• DATASUS 和 DETRAN 数据库被指泄露数亿条记录

  据称影响 DATASUS（巴西统一卫生系统）和 DETRAN（巴西交通部）的大规模数据泄露事件已经浮出水面。据报道，此次数据泄露事件暴露了 DATASUS 的 1.85 亿条记录和 DETRAN 的 1.04 亿条记录，其中包含公积金号码、地址和车辆登记信息等个人信息。

来源: Daily Dark Web




• 威胁者声称出售 600GB 的中华电信数据

  一个暗网论坛上的威胁行为者声称拥有超过 600GB 的敏感数据，据称这些数据是从台湾最大的电信公司中华电信（Chunghwa Telecom）窃取的。帖子声称这些数据包含机密文件，包括敏感信息和军事文件。

来源: Daily Dark Web




• 印度尼西亚政府官员的敏感数据据称在暗网上泄露，大约有 660 万条记录

  一名威胁行为者声称对在一个黑网论坛上泄露包括总统及其家人在内的印尼高级官员的个人信息负责。据报道，被泄露的数据大约有 660 万条记录，这些记录被压缩成一个 500 MB 的文件。被盗数据包括姓名、身份证号码、税务登记号、住址、电子邮件地址、电话号码、出生日期、税务局名称、地区税务局详情、纳税情况等敏感信息。

来源: Daily Dark Web




• 巴拉特石油公司数据库据称被入侵 1.48 亿条记录在暗网上出售

  一个威胁行为者在一个暗网论坛上发帖，声称已经入侵了巴拉特石油公司（Bharat Petroleum）天然气交付服务的数据库。据报道，据称入侵的数据库包含 592 个 CSV 表，总计 143 千兆字节的敏感客户信息。数据库包括电话号码、姓名、送货地址等个人数据，以及与订单、付款和送货相关的其他详细信息。

来源: Daily Dark Web




• 阿尔沙亚集团 28 万份客户记录据称在暗网上泄露

  一个暗网论坛上出现了一个据称包含领先品牌特许经营商 Alshaya 集团敏感客户信息的数据库。该帖子声称泄露了该公司自 2021 年以来的 280000 多行数据，包括姓名、电子邮件、电话号码、邮政编码和账单地址等敏感信息。

来源: Daily Dark Web




• 攻击者声称窃取 SAP 软件公司 2600 名员工敏感数据

  2024年9月16日， 一名昵称为“888”的攻击者声称窃取了 SAP 软件公司员工的敏感数据。据称，此次数据泄露涉及大约 2600 名员工的敏感信息，如姓名、电子邮件地址和职位。

来源: CN-SEC 中文网




• 威胁者声称 DataGardener 数据库遭入侵，140 万条记录曝光

  2024 年 7 月，据称 DataGardener 数据库被名为 @Satanic 的黑客入侵，140 万条记录被曝光。据报道，被曝光的数据包括电子邮件、职位、公司详情、电话号码和 LinkedIn 个人资料等敏感信息。

来源: Daily Dark Web




• Sibanye-Stillwater 矿业公司证实数据泄露事件暴露了 7258 名员工的信息

  Sibanye-Stillwater 矿业公司遭受的网络攻击于2024年7月被发现，尽管攻击发生在 6月。该公司称，StillWater 数据泄露事件已经泄露了 7258 名员工的敏感个人信息。被盗数据包括各种个人信息：姓名、联系方式、政府身份证、社会安全号、护照号、税号、银行账户等财务信息，甚至还有医疗计划号等医疗信息。

来源: The Cyber Express




• 在黑客声称 8700 万条数据记录被盗后，Temu 否认存在漏洞

  在一名威胁者声称出售一个被盗数据库（其中包含 8700 万条客户信息记录）后，Temu 否认遭到黑客攻击或数据泄露。

来源: BleepingComputer




• 数以百万计的车辆记录未找到车主

  Cybernews 研究团队发现，一个未受保护的 Elasticsearch 集群暴露了超过 330 万条车辆登记数据记录。被曝光的信息显示了这个西亚国家车辆所有权的许多方面，揭示了详细的个人和车辆技术信息。

来源: Cybernews




• 发现 1000 多个 ServiceNow 实例泄漏企业 KB 数据

  发现超过 1000 个配置错误的 ServiceNow 企业实例向外部用户和潜在威胁行为者暴露了包含敏感企业信息的知识库 (KB) 文章。

来源: BleepingComputer




• 迪拜市政当局被指遭窃 60GB 数据待售

  在一起重大网络安全事件中，阿联酋迪拜负责城市服务的政府机构迪拜市政府据称遭遇了重大数据泄露事件。一名威胁行为者在暗网论坛上透露有超过 60 GB 的敏感数据（包括个人和财务记录）遭到泄露。据称，这些数据包括检查数据 ：超过 100 万条记录，包括企业检查详情、违规行为和酒店检查。具体数据集包含企业许可信息、联系信息和计划检查信息。

来源: Daily Dark Web




• 卡特彼勒公司据称遭入侵 80GB 敏感数据曝光

  一个威胁行为者在暗网论坛上发帖，声称他们入侵了全球最大的建筑设备制造商之一卡特彼勒公司的网络。威胁方宣布，80GB 的机密信息已经泄露，其中包括项目文件、员工数据、客户记录、财务文件以及发动机和机器的制造设计。

来源: Daily Dark Web




• 第三方文件共享服务窃取 Fortinet 客户数据

  Fortinet 公司在一篇博客文章中称，一名攻击者获取了存储在第三方云共享文件驱动器上的 Fortinet 客户数据，该网络安全公司没有说明入侵发生的时间。该公司表示，这次入侵暴露了有限数量的文件，包括与不到 0.3% 的Fortinet客户相关的数据。

来源: Cybersecurity Dive

5、僵尸网络：

• 僵尸网络使 26 万台 SOHO 路由器和 IP 摄像机感染恶意软件

  联邦调查局和网络安全研究人员瓦解了一个名为 "猛禽列车"的大规模僵尸网络，该网络感染了超过 26 万台网络设备，目标是美国和其他国家的关键基础设施。

来源: BleepingComputer




• 威胁行为者以 1.2 万美元的价格向美国化妆品公司提供访问权

  一个暗网论坛上的威胁行为者声称控制了一个僵尸网络，其中包括美国一家知名化妆品公司的设备。攻击者声称，他们可以通过僵尸网络访问该特定设备，并通过命令与控制（C2）接口发布 PowerShell 命令。攻击者向感兴趣的买家出售僵尸的控制权，通过基于 Web 的控制面板提供访问权限。

来源: Daily Dark Web

6、金融事件：

• 德国查获勒索软件团伙使用的 47 家加密货币交易所

  德国执法部门查获了 47 家在该国托管的加密货币兑换服务机构，这些机构为网络犯罪分子（包括勒索软件团伙）的非法洗钱活动提供了便利。

来源: BleepingComputer




• AT&T 就 2023 年数据泄露事件支付 1300 万美元 FCC 和解金

  美国联邦通信委员会（FCC）已与美国电话电报公司（AT&T）达成了一项 1300 万美元的和解协议，以解决对该电信巨头在三年前一家供应商的云环境被入侵后是否未能保护客户数据的调查。

来源: BleepingComputer




• 万事达卡斥资 26.5 亿美元收购 Recorded Future，巩固其安全业务

  万事达卡发布联合新闻稿称，已同意以 26.5 亿美元的价格从风险投资公司 Insight Partners 收购网络安全公司 Recorded Future。

来源: Cybersecurity Dive

7、恶意软件：

• 聪明的 "GitHub 扫描器"活动滥用软件仓库推送恶意软件

  一个巧妙的威胁活动正在滥用 GitHub 存储库来发布 Lumma Stealer 密码窃取恶意软件，其目标是经常访问开源项目存储库或订阅了该存储库电子邮件通知的用户。

来源: BleepingComputer




• 研究人员发现 TrickMo 银行木马的新变种

  Cleafy 威胁情报团队发现了 TrickMo Android 银行木马的新变种。该木马最初被归类为未知恶意软件样本，经过深入分析后发现，它是 TrickMo 变种。具有一些新的反分析功能，使得检测更加困难，并对手机银行用户构成重大威胁。

来源: CN-SEC 中文网




• 恶意软件将浏览器锁定为 kiosk 模式，以窃取 Google 凭据

  一个恶意软件活动采用了一种不寻常的方法，即把用户锁定在浏览器的 kiosk 模式下，让他们输入谷歌凭据，然后被窃取信息的恶意软件盗取。

来源: BleepingComputer

8、钓鱼事件：

• 警方捣毁与 483000 名受害者有关的手机解锁团伙

  一项联合执法行动摧毁了一个国际犯罪网络，该网络利用 iServer 自动网络钓鱼即服务平台为全球 48.3 万名受害者被盗或丢失的手机解锁。

来源: BleepingComputer

9、国际安全情报：

• 2.3 亿美元加密货币盗窃案的幕后嫌疑人在迈阿密被捕

  本周，两名嫌疑人在迈阿密被捕，并被指控共谋利用加密货币交易所和混合服务窃取和清洗超过 2.3 亿美元的加密货币。

来源: BleepingComputer




• 在警方对用户实施去匿名化处理的报道中，Tor 表示它仍然安全

  最近的一份调查报告警告说，德国和其他国家的执法部门正联手通过定时攻击来消除用户的匿名性，Tor 项目正试图向用户保证该网络仍然安全。

来源: BleepingComputer




• 谷歌密码管理器现在可自动同步密钥

  谷歌宣布，从今天起，添加到谷歌密码管理器的密钥将在 Windows、macOS、Linux、Android 和 ChromeOS 设备之间自动同步登录用户的密码。

来源: BleepingComputer




• 无法解释的 "噪音风暴"充斥互联网，令专家困惑不已

  互联网情报公司 GreyNoise 报告称，自 2020 年 1 月以来，该公司一直在追踪包含欺骗性互联网流量的大波 "噪音风暴"。然而，尽管进行了大量分析，该公司仍无法断定其来源和目的。

来源: BleepingComputer




• Discord 为音频和视频通话推出端到端加密功能

  Discord 推出了 DAVE 协议，这是一种定制的端到端加密 (E2EE) 协议，旨在保护平台上的音频和视频通话免遭未经授权的拦截。

来源: BleepingComputer




• 欧洲刑警组织关闭用于犯罪的 "幽灵"加密信息平台

  欧洲刑警组织和来自九个国家的执法人员成功捣毁了一个名为 "幽灵"的加密通信平台，该平台被贩毒和洗钱等有组织犯罪利用。

来源: BleepingComputer




• 两个月后，PKfail 安全启动旁路仍存在重大风险

  在测试的固件镜像中，约有 9% 使用的是公开的或在数据泄露事件中泄露的非生产加密密钥，这使得许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。

来源: BleepingComputer




• 联邦调查局告诉公众不要理会关于黑客攻击选民数据的虚假说法

  联邦调查局（FBI）和网络安全与基础设施安全局（CISA）提醒公众注意有关美国选民登记数据在网络攻击中遭到泄露的虚假说法。

来源: BleepingComputer

• 美国对间谍软件供应商 Intellexa 实施更多制裁

  今天，美国财政部制裁了与 Intellexa 财团有关联的五名高管和一个实体，罪名是开发和分发 Predator 商业间谍软件。

来源: BleepingComputer




• Chrome 浏览器转用美国国家标准与技术研究院批准的 ML-KEM 量子加密技术

  谷歌宣布更新 Chrome 浏览器中使用的后量子加密密钥封装机制，特别是将混合密钥交换中使用的 Kyber 换成模块晶格密钥封装机制（ML-KEM）。

来源: BleepingComputer




• 全球蓝屏后，微软决定将安全踢出Windows内核

  有消息称，微软正在重新设计EDR与Windows内核的交互方式，以避免再次引发全球蓝屏事件。

来源: FreeBuf