赛欧思一周资讯分类汇总(2024-10-21 ~ 2024-10-26)

一周资讯分类汇总：

1、勒索事件：

• 假冒 LockBit，勒索软件滥用 AWS S3窃取数据

  据 The Hacker News 消息，有攻击者正滥用 Amazon S3 Transfer Acceleration 功能实施勒索软件攻击，并将 Golang 勒索软件伪装成臭名昭著的 LockBit，以迫使受害者支付赎金。

来源: FreeBuf




• 新型麒麟勒索软件加密程序具有更强的加密和逃避功能

  一种基于 Rust 的麒麟（Agenda）勒索软件新变种（被称为 "Qilin.B"）在野外被发现，该变种具有更强的加密能力，能更好地躲避安全工具的攻击，并能破坏数据恢复机制。

来源: BleepingComputer

2、攻击事件：

• 荷兰警方遭国家行为者入侵，警员信息被泄露

  近期，荷兰警方遭遇了一场令人震惊的网络攻击事件，此次攻击极有可能是由外国政府或其代理人实施的，导致大量警员的工作联系方式被泄露。

来源: CN-SEC 中文网




• 网络攻击导致俄罗斯外交部简报停滞

  据塔斯社报道，俄罗斯外交部发言人玛丽亚-扎哈罗娃（Maria Zakharova）宣布，由于遭到大规模分布式拒绝服务（DDoS）攻击，外交部的每周新闻发布会不得不推迟。

来源: Dev Discourse

3、漏洞情报：

• CVE-2024-20424 (CVSS 9.9)：思科 FMC 软件漏洞为攻击者提供 Root 访问权限

  思科发布了一条重要安全公告，警告在其安全防火墙管理中心（FMC）软件中存在命令注入漏洞。该漏洞被跟踪为 CVE-2024-20424，CVSS 得分为 9.9，可允许经过验证的远程攻击者以根权限在底层操作系统上执行任意命令。

来源: 安全客




• 高风险 ICS 漏洞导致 ICONICS 和三菱电机产品面临数据泄露风险

  网络安全和基础设施安全局 (CISA) 发布了一份针对工业控制系统 (ICS) 的漏洞公告，漏洞编号为 CVE-2024-7587，CVSS v3.1 基本评分为 7.8，由于攻击复杂度较低，该漏洞对 ICONICS Suite 用户以及三菱电机所有版本的 MC Works64 构成严重威胁。

来源: CN-SEC 中文网




• 思科修复在密码喷射攻击中发现的 VPN DoS 漏洞

  思科修复了其 Cisco ASA 和 Firepower Threat Defense (FTD) 软件中的一个拒绝服务漏洞，该漏洞是在 4 月份针对思科 VPN 设备的大规模暴力攻击中被发现的。

来源: BleepingComputer




• 苹果、特斯拉均受影响，新型漏洞迫使 GPU 无限循环，直至系统崩溃

  近日，Imperva 研究人员发现了一个名为 ShadyShader 的漏洞。该漏洞允许攻击者反复冻结苹果设备的 GPU，最终可能导致系统崩溃，苹果、特斯拉均受影响。

来源: FreeBuf




• 三星 Galaxy S24 和 Sonos Era 在 Pwn2Own Ireland 第 2 天遭到黑客攻击

  在 Pwn2Own Ireland 2024 第二天的比赛中，参赛的白帽黑客展示了 51 个令人印象深刻的 0day漏洞，共获得 358625 美元的现金奖励。

来源: BleepingComputer




• Styra 公司的开放策略代理中存在安全漏洞 CVE-2024-8260，可能导致 NTLM 哈希值泄露

  Styra 公司的开放策略代理（OPA）中存在一个已打补丁的安全漏洞，如果被成功利用，可能会导致新技术局域网管理器（NTLM）哈希值泄露。漏洞被追踪为 CVE-2024-8260（CVSS 得分：6.1/7.3），同时影响到 CLI 和 Windows 版 Go 软件开发工具包（SDK）。

来源: 安全客




• Red Hat 警告 NetworkManager-libreswan 中存在提权漏洞 CVE-2024-9050

  NetworkManager 的 libreswan 客户端插件中新发现的一个漏洞可能允许攻击者获得 Red Hat Enterprise Linux 9 系统上的 root 访问权限。漏洞被跟踪为 (CVE-2024-9050)，该漏洞可能允许本地攻击者提升权限并以 root 权限执行任意代码。

来源: CN-SEC 中文网




• 拉扎罗斯黑客利用伪造的 DeFi 游戏利用谷歌 Chrome 浏览器 0day漏洞

  朝鲜 Lazarus 黑客组织通过一款虚假的去中心化金融（DeFi）游戏利用了谷歌 Chrome 浏览器的一个 0day漏洞，该漏洞被追踪为 CVE-2024-4947，目标是加密货币领域的个人。

来源: BleepingComputer




• Fortinet 就 0day攻击中使用的 FortiManager 新关键缺陷发出警告

  Fortinet 今天公开披露了一个关键的 FortiManager API 漏洞（跟踪为 CVE-2024-47575），该漏洞在 0day攻击中被利用，窃取包含配置、IP 地址和受管设备凭证的敏感文件。

来源: BleepingComputer




• 黑客在爱尔兰 Pwn2Own 大会首日利用 52 个 0day漏洞

  在爱尔兰 Pwn2Own 比赛的第一天，参赛者展示了 52 个 0day漏洞，涉及各种设备，共获得 486250 美元的现金奖励。

来源: BleepingComputer




• 三星设备曝出高危 0day漏洞，已在野外被利用

  谷歌威胁分析小组（TAG）警告称，三星存在一个 0day漏洞，被追踪为 CVE-2024-44068（CVSS 得分为 8.1），且该漏洞已被发现存在被利用的情况。攻击者可利用该漏洞在安卓设备上提升权限，可在易受攻击的设备上实现任意代码执行。

来源: FreeBuf




• BannleEye 漏洞允许封禁任意游戏用户

  BattlEye (BE) 是一种广泛使用的反作弊系统，现已披露一个严重漏洞，该漏洞被称为“BannleEye”，可能危及多个知名在线游戏的用户帐户安全，恶意行为者可利用该系统的身份验证过程触发非法帐户禁令。

来源: CN-SEC 中文网




• 针对新型 Windows Server "WinReg" NTLM 中继攻击的漏洞已发布

  微软远程注册表客户端中的一个漏洞的概念验证利用代码现已公开，该漏洞可通过降低身份验证过程的安全性来控制 Windows 域。

来源: BleepingComputer




• VMware 修复关键 vCenter Server RCE 漏洞的不良补丁

  VMware 针对 CVE-2024-38812 发布了另一个安全更新，CVE-2024-38812 是一个严重的 VMware vCenter Server 远程代码执行漏洞，在 2024 年 9 月发布的第一个补丁中没有得到正确修复。

来源: BleepingComputer




• CISA 在 KEV 目录中添加 Sciencelogic SL1 未指定漏洞

  CISA 最近在其已知漏洞（KEV）目录中增加了一个影响 ScienceLogic SL1 的关键安全漏洞，被跟踪为 CVE-2024-9537，CVSS v4 得分为 9.3，该漏洞影响 ScienceLogic SL1（以前称为 EM7），涉及与软件打包在一起的一个未指定的第三方组件。

来源: Cyber Security News




• 立即打补丁！Grafana 遭 9.9 严重 RCE 漏洞攻击 (CVE-2024-9264)

  流行的监控和可观察性开源平台 Grafana 发现了一个严重的安全漏洞 (CVE-2024-9264)。该漏洞的 CVSS v3.1 得分为 9.9，攻击者可利用该漏洞在受影响的系统上执行任意代码，可能导致系统完全崩溃。

来源: 安全客




• 黑客利用 Roundcube 网络邮件漏洞窃取电子邮件和证书

  威胁分子一直在利用 Roundcube Webmail 客户端中的一个漏洞来攻击前苏联继承国独立国家联合体 (CIS) 地区的政府组织。

来源: BleepingComputer




• 近期一次攻击中，与朝鲜相关的 APT37 利用了 IE 0day漏洞

  与朝鲜相关的威胁行为者 APT37（也被称为RedEyes、TA-RedAnt、Reaper、ScarCruft、Group123）利用了最近发现的 Internet Explorer 0day漏洞，该漏洞被标记为 CVE-2024-38178（CVSS评分7.5），用于进行供应链攻击。

来源: CN-SEC 中文网




• F5 修复了 BIG-IP 中的高危权限提升漏洞

  BIG-IP 和 BIG-IQ 企业产品中存在两个漏洞，分别被追踪为 CVE-2024-45844 和 CVE-2024-47139，F5 通过发布版本 17.1.1.4、16.1.5 和 15.1.10.5 修复了该漏洞。

来源: CN-SEC 中文网




• CVE-2024-10025 (CVSS 9.1)：SICK 产品中的关键漏洞使系统遭受远程攻击

  多个 SICK 产品中新披露了一个漏洞（CVE-2024-10025），该漏洞被列为关键漏洞，CVSS 得分为 9.1，可允许远程攻击者获得未经授权的访问权限，并危及受影响设备的完整性和可用性。

来源: 安全客




• 微软 Windows 漏洞：发布 CVE-2024-30090 PoC 漏洞利用程序，构成系统特权威胁

  DEVCORE 的安全研究员 Angelboy (@scwuaptx) 在微软的内核流媒体服务中发现了一个权限升级漏洞。该漏洞被追踪为 CVE-2024-30090，CVSS 得分为 7.0，攻击者可利用该漏洞在有漏洞的 Windows 系统上获得 SYSTEM 权限。

来源: 安全客

4、信息泄露：

• 保险管理机构 Landmark 称数据泄露影响 80 万人

  保险管理服务公司 Landmark Admin 警告称，5 月份的一次网络攻击导致 80 多万人受到数据泄露的影响。

来源: BleepingComputer




• Campus.gov.il 数据泄露事件暴露了超过 110GB 的敏感信息

  一个暗网行为者声称已经入侵了以色列的一个教育平台 Campus.gov.il，泄露了超过 110GB 的敏感信息。据报道，被泄露的数据包括电子邮件服务器、财务记录和国际关系文件。

来源: Daily Dark Web




• PriceBlink 数据泄露暴露了超过 148000 名用户的信息

  据报道，eBay/亚马逊价格狙击工具 PriceBlink.com 发生重大数据泄露事件，超过 148000 条用户记录泄露。泄露的数据库包括电子邮件地址、bCrypt 加密密码和其他用户数据等敏感信息。

来源: Daily Dark Web




• 在数百万人使用的安卓和 iOS 应用程序中发现 AWS 和 Azure 验证密钥

  iOS 和安卓系统的多种流行移动应用程序都带有针对亚马逊网络服务（AWS）和微软 Azure Blob Storage 等云服务的硬编码、未加密凭据，从而将用户数据和源代码暴露在安全漏洞之下。

来源: BleepingComputer




• 南华会 7.2 万会员资料外泄

  南华体育会（南华会）电脑伺服器 3月时遭黑客入侵、资料外泄，受外泄事件影响的南华会会员数目为超过 7.2万名，所涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期及地址等。

来源: 星岛日报




• 员工笔记本电脑遭黑客攻击，加密货币支付公司 Transak 遭数据泄露重创

  全球领先的加密货币支付服务提供商 Transak 遭受重大数据泄露事件，该事件源于一次复杂的网络钓鱼攻击，一名员工的笔记本电脑受到了攻击。此次漏洞暴露了 92554 名用户的敏感个人信息，约占 Transak 用户总数的 1.14%，被泄露的数据包括姓名、出生日期、护照详细信息、驾照信息等。

来源: Cyber Security News




• Omni 家庭健康数据泄露影响 468344 人

  Omni 家庭健康是一家非营利组织，为加利福尼亚州的社区提供医疗服务，重点关注服务不足的人群。Omni 家庭健康正在通知近 47 万人，他们的个人信息在今年早些时候发生的网络攻击导致的数据泄露事件中被泄露。

来源: CN-SEC 中文网




• 225K+ 德国 B2B 潜在客户数据库在暗网上泄露

  一个重大数据泄漏事件浮出水面，披露了一个拥有 22.5 万多名德国 B2B 联系人的数据库。被泄露的信息包括全名、电子邮件地址、公司详情、工作职位和电话号码，对企业隐私和安全构成严重威胁。

来源: Daily Dark Web




• 数百万人使用的 E2EE 云存储平台存在严重缺陷

  多个端到端加密 (E2EE) 云存储平台存在一系列安全问题，可能会将用户数据暴露给恶意行为者。苏黎世联邦理工学院研究人员分析发现，Sync、pCloud、Icedrive、Seafile 和 Tresorit 服务存在问题，这些服务共有超过 2200 万人使用。

来源: BleepingComputer

5、僵尸网络：

• Mirai 启发的大猩猩僵尸网络在 100 个国家达到了 30 万个目标

  据网络安全公司 NSFOCUS 称，一个新的大猩猩僵尸网络发起了大规模 DDoS 攻击，目标遍及 100 多个国家的 30 多万个目标。该僵尸网络利用 Mirai 僵尸网络源代码和先进技术，构成了日益严重的全球性威胁。

来源: 安全客

6、金融事件：

• 美国证券交易委员会指控科技公司淡化 SolarWinds 的违规行为

  美国证券交易委员会指控四家公司--Unisys Corp、Avaya Holdings、Check Point Software 和 Mimecast--涉嫌在 2020 年 SolarWinds Orion 大规模黑客攻击事件中，就其漏洞的影响误导投资者。

来源: BleepingComputer

7、恶意软件：

• Ghostpulse 恶意软件加载程序完美隐藏在 PNG 图像文件中

  Ghostpulse 恶意软件最新版本通过解析 PNG 图像文件的像素将恶意数据嵌入结构中，使用 GdiPlus 库中的标准 Windows API 提取每个像素的 RGB 值，构建字节数组，并搜索包含加密配置的结构。

来源: CN-SEC 中文网




• 攻击者正滥用 Gophish 传播远程访问木马程序

  据The Hacker News消息，名为 Gophish 的开源网络钓鱼工具包正被攻击者用来制作 DarkCrystal RAT（又名 DCRat）和 PowerRAT 远程访问木马，目标针对俄国用户。

来源: FreeBuf




• 超过 6000 个 WordPress 被黑客安装插件，推送信息窃取程序

  WordPress 网站被黑客安装了恶意插件，这些插件会显示虚假的软件更新和错误，从而推送窃取信息的恶意软件。

来源: BleepingComputer




• 俄罗斯黑客以新型 RAT 病毒攻击乌克兰政府

  俄罗斯黑客使用名为 SingleCamper（又名 SnipBot 或 RomCom 5.0）的 RomCom RAT 变体针对乌克兰政府机构和波兰实体。

来源: CN-SEC 中文网




• 大黄蜂恶意软件在近期执法中断后卷土重来

  欧洲刑警组织在 5 月份的 "终局行动 "中捣毁了大黄蜂恶意软件加载程序，四个多月后，最近又在新的攻击中发现了大黄蜂恶意软件加载程序。

来源: BleepingComputer

8、钓鱼事件：

• 不明威胁方利用 Roundcube Webmail 漏洞发起网络钓鱼活动

  黑客在一次网络钓鱼攻击中利用现已修补的 Roundcube 漏洞，从开源网络邮件软件中窃取用户凭证，该漏洞被追踪为 CVE-2024-37383（CVSS 得分：6.1），攻击者利用该漏洞作为网络钓鱼活动的一部分，旨在窃取 Roundcube 用户的凭据。

来源: Security Affairs

9、国际安全情报：

• WhatsApp 现在为联系人数据库加密，以保护同步隐私

  WhatsApp 信使平台推出了身份验证关联存储（IPLS），这是一种新的隐私保护加密存储系统，专为联系人管理而设计。

来源: BleepingComputer




• 谷歌将允许企业为扩展程序创建精心策划的 Chrome 浏览器网络商店

  谷歌宣布将很快允许企业创建自己的 "企业网络商店"，为 Chrome 和 ChromeOS 提供公司认可的浏览器扩展，旨在提高企业的生产力、安全性和管理水平。

来源: BleepingComputer




• CISA 提出保护政府和个人数据的新安全要求

  美国网络安全与基础设施安全局 (CISA) 正在提出安全要求，以防止敌国访问美国人的个人数据以及政府相关信息。

来源: BleepingComputer




• 开源 LLM 工具准备嗅探 Python 0day漏洞

  西雅图 Protect AI 的研究人员计划发布一款免费的开源工具，该工具可以在 Anthropic 的 Claude AI 模型的帮助下查找 Python 代码库中的 0day漏洞。

来源: CN-SEC 中文网




• 互联网档案馆再次因访问令牌被盗而遭入侵

  互联网档案馆（Internet Archive）再次遭到入侵，这次是在他们的 Zendesk 电子邮件支持平台上，因为威胁分子窃取了 GitLab 身份验证令牌而一再发出警告。

来源: BleepingComputer




• 微软创建虚假 Azure 租户，将网络钓鱼者拉入蜜罐

  微软正在使用欺骗手段对付网络钓鱼行为者，方法是催生可访问 Azure 的仿真蜜罐租户，引诱网络犯罪分子进入，收集有关他们的情报。

来源: BleepingComputer