正文

四名黑客因利用老旧路由器构建恶意代理网络被指控

admin
admin V管理员 /0 评论 /66 阅读
0515
此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!

515日,星期四,您好!中科汇能与您分享信息安全快讯:

01

四名黑客因利用老旧路由器构建恶意代理网络被指控

美国司法部近日公布了针对四名外国公民的指控,他们被控运营一个全球网络犯罪计划,该计划劫持过时的无线路由器,创建恶意代理网络,非法获利超过4600万美元。

被告包括三名俄罗斯公民和一名哈萨克斯坦公民。他们通过运营Anyproxy.net和5socks.net两个域名相关的僵尸网络,出售受感染设备的访问权限获利。根据指控,这些黑客利用安全漏洞感染老旧路由器,安装恶意固件,将其转变为非法互联网流量的代理。5socks.net域名据称提供了全球超过7000个被入侵的代理,月订阅价格在9.95美元至110美元之间。这些僵尸网络将被感染的路由器转换为匿名化非法网络活动的中介,包括欺诈、数据盗窃和凭证填充攻击。一旦路由器被入侵,就会被添加到"住宅代理"池中,向寻求隐藏位置的网络犯罪分子出售。

此次行动由FBI俄克拉荷马城网络任务组牵头,与荷兰和泰国当局合作,成功瓦解了僵尸网络基础设施。所有被告目前均不在美国境内,引渡程序正在进行中。如果罪名成立,他们将面临最高20年联邦监禁。

02

PrepHero数据库泄露,315万学生和教练个人信息曝光

近日,vpnMentor网络安全研究员Jeremiah Fowler发现并报告了一起重大数据泄露事件,涉及超过300万希望获得大学奖学金的年轻运动员及其教练的个人信息。这个未受保护的数据库属于芝加哥公司PrepHero,该公司由EXACT Sports运营,主要帮助高中运动员创建招募档案以申请大学体育项目。

据Fowler调查,该数据库包含了惊人的315万条记录(约135GB),且未设置密码或任何形式的加密保护。泄露的敏感信息包括学生运动员的姓名、电话号码、电子邮件地址、家庭住址和护照信息,以及家长和教练的联系方式。更严重的是,数据库中还包含未受保护的学生运动员护照图像链接。此外,数据库还包含一个标记为"mail cache"的文件夹,其中存储了10GB的电子邮件信息,时间跨度从2017年到2025年。这些邮件包含指向公开可访问页面的个性化网络链接,显示姓名、出生日期、电子邮件地址、家庭住址和薪酬详情。一些邮件甚至包含临时密码。

03

英国零售巨头遭网络攻击重创,玛莎百货市值已蒸发超过10亿英镑

英国零售巨头玛莎百货确认,在持续超过三周的网络攻击中,客户个人信息遭到泄露。这次始于复活节周末的事件已导致其数字业务瘫痪,包括在线服务暂停和实体店商品供应问题。

玛莎百货透露,攻击者窃取了多种类型的客户信息,包括姓名、家庭和电子邮件地址、电话号码、出生日期以及在线订单历史,但强调没有证据表明这些信息已被分享。据BBC报道,此次攻击归因于DragonForce勒索软件组织,该组织近期还针对英国其他零售商如Co-op和Harrods发动了类似攻击。

此次网络攻击造成严重财务后果,玛莎百货股价下跌约11%,市值蒸发超过10亿英镑。公司已通知全部940万活跃在线客户关于此次数据泄露事件,并正与国家犯罪局、国家网络安全中心和伦敦警察厅合作调查。

04

CISA调整网络安全警报发布策略引发担忧

美国网络安全和基础设施安全局(CISA)宣布,将不再在其"网络安全警报与建议"网页上发布标准网络安全更新公告。取而代之的是,这些更新将仅通过CISA的电子邮件订阅服务和社交媒体平台(包括在X平台上的CISACyber账号)进行分发。

根据新策略,CISA的公共网页将专注于与重大网络活动或新兴威胁相关的时效性警报。该机构表示,此举旨在提高关键信息的可访问性,确保这些信息获得应有的关注。CISA建议相关方通过CISA.gov上的GovDelivery订阅相关电子邮件主题。那些通过RSS源跟踪已知漏洞利用(KEV)目录的用户也应更新其首选项至KEV订阅主题,以继续接收通知。

05

每日9000次攻击尝试,黑客利用Microsoft Entra ID遗留登录协议绕过MFA保护

据网络安全公司Guardz报告,3月18日至4月7日期间,攻击者利用Microsoft Entra ID中的遗留登录漏洞,成功绕过多因素认证(MFA),针对金融、医疗和技术等关键行业的管理员账户发起了大规模攻击。

     攻击者利用过时的BAV2ROPC协议,该协议允许通过基本凭证进行非交互式登录,从而绕过MFA和现代安全保护机制。攻击活动迅速升级,每日登录尝试从约2700次增加到超过6400次,最终在Exchange Online和Microsoft Authentication Library端点上超过9000次。管理员账户成为重点攻击目标,其中一个案例显示,在短短8小时内,来自432个IP地址的近1万次登录尝试针对同一账户。大多数攻击尝试来自东欧和亚太地区

尽管此次攻击活动已经减弱,但Guardz警告称,像BAV2ROPC这样的遗留协议继续使组织面临风险。Guardz敦促企业淘汰过时的登录方法,并强制实施现代身份验证实践。

06

Mythic框架新型代理重塑渗透测试技术格局

近日,一组安全专家宣布为Mythic框架引入新型代理,旨在提高检测规避能力和操作效率,为渗透测试工具带来重大进步。

这款新型代理采用三阶段载荷结构,解决了现有工具如Cobalt Strike和Metasploit的Meterpreter面临的局限性:第0阶段负责创建并执行载荷,从零开始设计以绕过安全措施;第1阶段专注于侦察和建立隐蔽持久性,利用Beacon Object Files (BOFs)实现模块化;第2阶段执行横向移动和数据窃取等高级任务,结合开源组件和自定义调整以最小化检测风险。

在技术集成方面,该代理采用自定义的内存执行实现,利用Cobalt Strike开发者推广的Common Object File Format (COFF)。根据SecureList报告,这种技术允许动态更新功能,无需进程注入,从而减少被安全系统发现的可能性。代理体积优化至200KB以下,确保系统影响最小化。

07

欧洲漏洞数据库正式启动,CVE动荡中的新选择

欧洲网络与信息安全局(ENISA)5月13日宣布正式启动欧洲漏洞数据库(EUVD),这一举措在美国CVE体系面临动荡之际,为全球网络防御人员提供了新的选择。在CISA最近被迫临时延长非营利组织MITRE合同11个月后,许多机构对CVE项目的长期前景表示担忧,EUVD的启动可谓恰逢其时。

EUVD为用户提供三个仪表板:关键漏洞、已被利用的漏洞,以及由欧洲CSIRTs支持的欧盟协调漏洞。每个漏洞都被赋予"EUVD"标识符,同时列出CVE ID和其他可能的标识,如云安全联盟的全球安全数据库(GSD)或GitHub安全公告(GHSA)。EUVD数据记录包括:漏洞描述、受影响的IT产品或服务及版本、漏洞严重性及利用方式、可用补丁信息或来自CSIRTs和其他机构的缓解指南。

08

Horabot恶意软件瞄准拉美企业:精密钓鱼攻击窃密+自动化横向传播

网络安全公司FortiGuard Labs近日披露,专针对拉丁美洲西班牙语用户的Horabot恶意软件正通过商业发票钓鱼邮件传播。攻击者冒充墨西哥企业发送含ZIP附件的邮件,内藏恶意HTML文件,利用**Base64编码混淆+多阶段脚本(VBScript/AutoIt/PowerShell)**绕过检测:

反分析机制:脚本会检测虚拟机环境或Avast杀毒软件,若存在则终止运行。

信息收集:窃取系统信息、网络配置,并通过POST请求回传至C2服务器。

载荷解密:使用硬编码密钥99521487解密恶意DLL,通过合法工具AutoIt3.exe隐蔽执行。

核心危害:盗密+自动化横向渗透

浏览器数据窃取:针对Chromium内核浏览器(Chrome/Edge/Brave/Opera),窃取保存的密码、Cookie及金融凭证。

通过DLL内嵌的RCData资源注入虚假登录弹窗,进一步钓鱼骗取账户信息。

Outlook邮件自动传播:利用Outlook COM接口从受害者邮箱自动发送钓鱼邮件,过滤Gmail/Hotmail/.edu等非目标域名,集中攻击企业联系人。

09

微软2025年5月星期二补丁修复了5个被利用的零日、72个缺陷

微软于本月**Patch Tuesday(2025年5月)**发布了72个安全漏洞的修复补丁,其中包括:5个已被主动利用的零日漏洞,2个公开披露但尚未被利用的漏洞,6个“严重”(Critical)漏洞。

重点关注:4个正被利用的零日漏洞

1. CVE-2025-30400

类型:Windows DWM核心库权限提升漏洞

风险:本地攻击者利用**释放后重用(UAF)**漏洞获取SYSTEM权限。

2. CVE-2025-32701 & CVE-2025-32706

类型:Windows通用日志文件系统驱动(CLFS)权限提升漏洞

风险:通过UAF或输入验证缺陷获取SYSTEM权限。

3. CVE-2025-32709

类型:Windows WinSock辅助功能驱动权限提升漏洞

风险:利用UAF实现本地特权升级。

4. CVE-2025-30397

类型:脚本引擎内存损坏漏洞(影响Edge/IE)

风险:诱骗用户点击恶意链接,实现远程代码执行(RCE)。

10

Android 16扩展了“高级保护”,具有设备级安全性

Google 宣布对 Android 16 中的高级保护功能进行改进,以加强对复杂间谍软件攻击的防御。

Android 平台一直是间谍软件活动和利用数字取证平台进行复杂攻击的目标,这些平台通常依靠零日漏洞来感染设备,用户交互最少或根本没有用户交互。

Google 已经为高风险个人(例如记者、民选官员、公众人物)提供了“高级保护计划”,但其目前的重点是保护 Google 帐户。

在 Android 16 中,该公司将安全强化扩展到移动设备本身,超越了某些应用程序级别的设置。

这个设备级安全层捆绑了 Android 最强大的系统级安全功能,并防止恶意或意外地禁用高级保护伞中的单个安全功能。

Google 在 Android 上的高级保护类似于 Apple 的锁定模式,并将在今天作为 Google 的“The Android Show: I/O Edition”的一部分展示的最新版本的移动作系统上提供。

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有,如有侵权请联系我们及时删除


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网