绿盟科技威胁周报(20220725-20220731)

一、 热点资讯

  • Elasix VoIP服务器遭攻击,超50万设备被感染

【标签】不区分行业

【概述】

近期,安全研究人员检测到Elasix VoIP服务器遭到大规模网络攻击,该攻击使用CVE-2021-45461远程代码执行漏洞,植入PHP Web shell实现远程控制,还特意修改文件时间戳试图”融入环境“。仅仅3个月时间,已经有超50万设备被感染。安全研究人员表示,攻击者通过植入一个 PHP Web shell,可以在受感染的通信服务器上运行任意命令。研究人员表示,攻击者在 2021 年 12 月至 2022 年 3 月期间部署了“该家族的超过 500,000 个独特的恶意软件样本”。目前该活动还很活跃,与网络安全公司 Check Point的研究人员报告的 2020 年另一项行动有一些相同的地方。安全研究人员观察到两个攻击组使用不同的初始利用脚本来删除小型 shell 脚本。该脚本在目标设备上安装 PHP 后门,并创建 root 用户帐户,并通过计划任务确保持久性。用于初始妥协的两个脚本之一 (Palo Alto Networks)这个 dropper 还试图通过将已安装的 PHP 后门文件的时间戳伪装成系统上已经存在的已知文件的时间戳来融入现有环境。安全研究人员指出,这两个组织的攻击者的 IP 地址显示位于荷兰,而 DNS 记录显示了几个俄罗斯不良网站的链接。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHY

 

  • 去中心化音乐平台 Audius 遭黑客攻击,超 600 万美元被窃取

【标签】互联网

【概述】

上周末去中心化音乐平台Audius遭受了黑客攻击,攻击者窃取了超过1800万个AUDIO代币,总价值约600万美元。AUDIO价格受此事件影响在一小时内骤降17%。Audius是一个托管在以太坊区块链上的去中心化流媒体平台,艺术家可以通过分享他们的音乐来获得AUDIO代币,而用户可以通过收听这些内容来赚取代币。根据Audius周日发布的事后分析报告,事件中的黑客利用了合约初始化代码中的一个错误,该错误允许其重复调用初始化函数(具体攻击原理可点击文末官方报告链接查看)。黑客成功窃取18564497枚AUDIO代币后,Audius平台在几分钟内做出了回应,迅速冻结了几项服务以防止代币进一步被盗,直到开发人员完成修复程序的部署。随后,攻击者为脱手赃物,以损失其价值的5/6为代价,在Uniswap上以107万美元的价格交易了所有盗取的AUDIO代币,然后通过Tornado Cash混币服务隐藏了被盗资金的踪迹。

【参考链接】

https://ti.nsfocus.com/security-news/IlNI1

 

  • 黑客利用恶意的IIS扩展程序对Exchange服务器进行后门攻击

【标签】不区分行业

【概述】

据微软称,黑客正在利用IIS网络服务器安装后门,并在其最新活动中窃取凭证。微软365防御者研究团队发布了一份报告,揭示了黑客目前正在利用微软的互联网信息服务(IIS)扩展作为后门,渗透到其服务器并隐藏在系统深处,以确保在设备上的持久性。

【参考链接】

https://ti.nsfocus.com/security-news/IlNI8

 

  • 西班牙航空因黑客攻击苹果的Airdrops而延误

【标签】航空

【概述】

今年7月21日,西班牙航空因黑客攻击苹果公司的Airdrops信息服务而延误。一架即将飞往罗马的航班延误了2个多小时,因为一名黑客通过苹果公司的Airdrops信息服务向一些乘客发送了令人不安的图片和死亡威胁。当时有超过147名乘客(不包括工作人员)在Vueling航班上。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHu

 

  • 奥地利公司利用Windows和Adobe Zero Day漏洞对欧洲和中美洲实体进行攻击

【标签】不区分行业

【概述】

一个表面上向商业客户销售一般安全和信息分析服务的网络雇佣兵公司,在对欧洲和中美洲实体进行高度有针对性的攻击中使用了几个Windows和Adobe的零日漏洞。这家被微软描述为私营部门攻击性行为者(PSOA)的公司是一家位于奥地利的名为DSIRF的机构,与开发和试图销售一种被称为Subzero的网络武器有关,这种武器可用于入侵目标的电话、电脑和互联网连接设备。

【参考链接】

https://ti.nsfocus.com/security-news/IlNI3

 

  • 漫游螳螂金融黑客攻击法国的安卓和iPhone用户

【标签】不区分行业

【概述】

被追踪为 ”漫游螳螂“ 的移动威胁活动与新一波针对法国手机用户的破坏活动有关,此前它的目标已扩大到欧洲国家。Sekoia在上周发表的一份报告中说,不少于7万台安卓设备据说已经被感染,成为活跃的恶意软件行动的一部分。众所周知,涉及漫游螳螂(一个有经济动机的中国威胁行为者)的攻击链要么部署名为MoqHao(又名XLoader)的银行木马,要么将iPhone用户重定向到模仿iCloud登录页面的凭证采集登陆页面。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHg

 

  • Magecart黑客食品订购系统窃取300多家餐厅的付款数据

【标签】餐饮

【概述】

三家餐厅的订餐平台MenuDrive、Harbortouch和InTouchPOS是两次Magecart 黑客盗刷活动的目标,导致至少311家餐厅受到影响。这三起违规事件导致这些受感染的餐厅的5万多条支付卡记录被盗,并在暗网上发布出售。网络安全公司Recorded Future在一份报告中透露,在线订购平台MenuDrive和Harbortouch是同一个Magecart活动的目标,导致80家使用MenuDrive的餐厅和74家使用Harbortouch的餐厅受到电子皮肤感染。InTouchPOS是一个单独的、不相关的Magecart活动的目标,导致157家使用该平台的餐厅被感染了e-skimmer。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHi

 

  • Neopets虚拟宠物网站出现千万级数据泄露

【标签】

【概述】

虚拟宠物网站Neopets最近推出自家NFT完善他们的元宇宙架构,没成想吸引了黑客注意力,成为炙手可热的目标,不久便被攻破出现数据泄露。周二,黑客“TarTarX”在黑客市场以四个比特币的售价出售Neopets网站源代码和数据库,当前价值近十万美元。有安全研究员尝试接触黑客,获知他们窃取了网站460MB的源代码压缩包及6900万用户的账号信息,包括姓名、邮箱、邮政编码、生日、性别、国家等。不过黑客没有详细说明是如何攻破网站的,只说并没有让Neopets交赎金的计划,且已找到对此心仪的买家。目前还无法确认数据的真实性,但黑客市场的管理员出来站台表示进行了验证无误。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHd

 

  • 攻击者从安全巨头Trust内部系统中窃取数据

【标签】安全

【概述】

数字安全领域的大公司Entrust最近在其网站上宣布,它遭到了黑客的攻击。在这次攻击中,黑客突破了他们的防火墙,并通过网络中的漏洞窃取了他们内部系统的数据。由于他们的安全服务被美国一些重要的政府机构和组织使用,因此,基于这一事件的性质和提供的服务。很明显,大量的关键组织将感受到这一攻击的影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHk

 

  • QBot恶意软件利用Windows计算器入侵设备

【标签】不区分行业

【概述】

据研究人员 ProxyLife 在Twitter上说,QBot恶意软件,又名QakBot,至少从2022年7月11日开始利用Windows 7计算器应用程序。QBot恶意软件(又名QakBot)正以一种相当非传统的方式针对使用Windows操作系统的设备。安全研究人员ProxyLife报告说,黑客正在用QBot恶意软件感染Windows PC,而恶意代码是通过Windows Calculator分发的。该研究人员指出,以这种方式感染个人电脑还可以使网络骗子更容易发起恶意垃圾邮件(malspam)活动。

【参考链接】

https://ti.nsfocus.com/security-news/IlNHt

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author