当前位置: 首页 > 行业资讯 > 网络安全日报 2024年10月29日

网络安全日报 2024年10月29日

发表于:2024-10-29 08:38 作者: 合天网安实验室 阅读数(423人)

1、Fog勒索软件利用SonicWall VPN漏洞入侵企业网络

https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

最近,Fog和Akira勒索软件团伙通过SonicWall VPN账户,利用CVE-2024-40766漏洞,频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞,并在随后一周警告称该漏洞已被积极利用。最新的报告指出,Akira和Fog勒索软件行动至少进行了30次入侵,这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中,75%与Akira有关,其余的则归因于Fog勒索软件。值得注意的是,这两个威胁团伙似乎共享基础设施,显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞,但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下,从入侵到数据加密的时间很短,通常约为十个小时,最快甚至达到1.5至2小时。许多攻击中,攻击者通过VPN/VPS访问终端,隐藏其真实IP地址。在随后的攻击阶段,威胁者迅速加密,主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件,但攻击者对超过六个月(或更敏感文件超过30个月)的文件不感兴趣。Fog勒索软件于2024年5月推出,通常利用被盗的VPN凭证进行初始访问。

2、研究人员监测到针对SPIP CMS的新攻击

https://cyble.com/blog/cyble-sensors-detect-new-attacks-on-cms-iot-exploits-continue/

研究人员近期报告了针对开源SPIP内容管理系统的新一轮网络攻击,同时,物联网设备及其他漏洞的利用活动也在持续进行。根据研究人员的每周传感器情报报告,活跃攻击活动涉及多个已知漏洞,其中包括新发现的针对SPIP CMS的攻击。此漏洞存在于SPIP版本4.3.2、4.2.16和4.1.18之前,具体为CVE-2024-8517的命令注入问题。攻击者可以通过发送特制的多部分文件上传HTTP请求,远程执行任意操作系统命令。此外,报告指出,针对PHP、Linux系统以及Java和Python框架的已知漏洞的攻击活动仍在持续。物联网设备和嵌入式系统中的旧漏洞也以惊人的速度被利用。

3、AWS CDK漏洞可能导致用户账户被接管

https://www.aquasec.com/blog/aws-cdk-risk-exploiting-a-missing-s3-bucket-allowed-account-takeover/

近期,研究人员披露了影响亚马逊网络服务(AWS)Cloud Development Kit(CDK)的安全漏洞,该漏洞在特定情况下可能导致账户接管。研究人员指出,攻击者在某些情况下可能获得目标AWS账户的管理访问权限,从而实现完全控制。该问题于2024年6月27日被负责任地披露,并在2024年7月发布的CDK版本2.149.0中得到修复。该漏洞与AWS的“影子资源”相关,利用了AWS简单存储服务(S3)桶的预定义命名约定。AWS CDK的引导过程会创建包括S3桶、Amazon Elastic Container Registry(ECR)和IAM角色在内的资源,而这些IAM角色的命名模式使得猜测桶名变得简单。当用户未自定义引导时,S3桶名的默认值“hnb659fds”使得攻击者可以通过已知的AWS账户ID和区域轻松预测桶名,从而实施S3桶名称抢注攻击。如果攻击者成功创建了与受害者CDK先前使用的桶相同名称的桶,他们可能会获得读取和写入数据的权限,从而篡改CloudFormation模板,执行恶意操作。研究人员指出,CloudFormation的部署角色默认具有管理员权限,这使得攻击者能够在受害者的AWS账户中创建特权资源。

4、四名REvil勒索软件成员在俄被判刑

https://www.kommersant.ru/doc/7263987

四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁,此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨(Artem Zaets)、阿列克谢·马洛泽莫夫(Alexei Malozemov)、达尼尔·普齐列夫斯基(Daniil Puzyrevsky)和鲁斯兰·汉斯维亚罗夫(Ruslan Khansvyarov)。他们因非法支付处理被定罪,普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道,圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决,扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁,而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的,该组织的领导人与针对外国科技公司的网络攻击有关。

5、LinkedIn平台违反了多项GDPR原则被罚3.1 亿欧元

https://thecyberexpress.com/linkedin-fined-310-million-by-irish-dpc/

近日, DPC公开表示,LinkedIn 平台违反了多项 GDPR 原则,决议对 LinkedIn 处以 3.1 亿欧元(约23.8亿人民币)的罚款,引发了人们对公司如何处理用户数据的广泛关注。

6、Pwn2Own大会:三星Galaxy S24的漏洞被利用

https://securityaffairs.com/170221/hacking/pwn2own-ireland-2024-day-two.html

NCC集团的安全人员Ken Gannon在Pwn2Own大会现场展示,他通过链接五个漏洞成功黑入了一台三星Galaxy S24设备,并获取了shell以及安装了一个应用程序。

7、Google Play上超过 200 个恶意应用被下载了数百万次

https://www.4hou.com/posts/VW59

Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序,累计下载量接近 800 万次

8、《2024年微软数字防御报告》全球每天网络攻击超6亿次

https://www.freebuf.com/news/413704.html

《2024年微软数字防御报告》揭示了一个复杂的全球网络安全格局,每天发生超过6亿次网络攻击。报告强调了勒索软件、网络钓鱼和身份泄露事件的增加,以及网络犯罪团伙和国家行为者之间的合作。

9、俄罗斯 APT29 模仿 AWS 域窃取 Windows 凭证

https://www.darkreading.com/cyberattacks-data-breaches/russias-apt29-aws-windows-credentials

克里姆林宫情报部门开展了大规模的网络钓鱼活动,这与通常的更有针对性的行动形成鲜明对比。

10、新的 Windows 驱动程序签名绕过允许安装内核rootkit

https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs

攻击者可以降级 Windows 内核组件以绕过驱动程序签名强制等安全功能,并在完全修补的系统上部署 rootkit。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。