绿盟科技威胁情报周报(2025.01.06-2025.01.12)

阅读: 15

本周热点概览

威胁通告

  • Windows LDAP拒绝服务漏洞(CVE-2024-49113)通告
  • Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)通告

 

热点资讯

  • 当全加密M1卡沦陷之后
  • 纽约时报科技专栏将优秀科技奖颁给微软工程师Andres Freund表彰其发现XZ后门
  • 2024年加密货币盗窃案激增,4.94亿美元资产遭窃
  • 日本最大的移动运营商因DDoS攻击导致服务中断
  • 6w$赏金,微软身份漏洞-未授权强制解绑任意微软账户邮箱
  • 新型Eagerbee恶意软件后门针对中东政府机构与ISP部署
  • LegionLoader滥用Chrome扩展传播多种恶意软件
  • Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
  • 警惕!假冒社会保障局邮件链接暗藏ConnectWise RAT木马
  • 网络安全公司的Chrome扩展程序被劫持、植入后门以窃取用户数据!

 

威胁通告

1.Windows LDAP拒绝服务漏洞(CVE-2024-49113)通告

【标签】CVE-2024-49113

【发布时间】2025-01-10 18:00:00 GMT

【概述】

近日,绿盟科技CERT监测到网上披露了Windows LDAP远程代码执行漏洞(CVE-2024-49113)的细节,由于Windows LDAP服务的wldap32.dll中存在越界读取漏洞,未经身份验证的攻击者可以通过未认证的特制DCE/RPC调用(或通过其他方式)诱使目标服务器(作为LDAP客户端)向攻击者控制的恶意LDAP服务器发起查询请求,当恶意LDAP服务器返回特制的、恶意构造的响应时可导致拒绝服务或信息泄露。CVSS评分7.5,目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)通告

【标签】CVE-2025-0282

【发布时间】2025-01-10 18:00:00 GMT

【概述】

近日,绿盟科技监测到Ivanti发布安全公告,修复了Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)。由于Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA网关中存在基于堆栈的缓冲区溢出,未经身份验证的攻击者可通过发送特制的数据包触发缓冲区溢出,从而实现在目标系统上执行任意代码。CVSS评分9.0,目前已发现在野利用,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

热点资讯

1.当全加密M1卡沦陷之后

【标签】M1

【概述】

复某微发行的FM11RF08(S)作为M1卡的对标卡,其提供了对于数据的加密保护。相对于NXP原厂的卡,能够有效避免类如NACK、Nested攻击。最初在2024年8月12日,来自夸克实验室的Philippe Teuwen发表了题目为MIFARE Classic: exposing the static encrypted nonce variant的论文。在2024年11月8日的时候修订提交了第二版。在文章中,完整地描述了来自复某微FM11RF08(S)芯片存在后门密钥和可预测随机数的问题。通过这些问题,可以在很短的时间内解密全加密卡,除了全量更换卡片外,没有好的解决方案。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwY

 

2.纽约时报科技专栏将优秀科技奖颁给微软工程师Andres Freund表彰其发现XZ后门

【标签】XZ Utils

【概述】

纽约时报科技专栏知名作者凯文•鲁斯日前公布该栏目年度优秀科技奖,该科技奖获奖者有好几位,其中包括微软数据库工程师安德烈•弗洛因德(Andres Freund)。安德•烈弗洛因德获奖的原因是他发现了XZ Utils的后门漏洞,这个开源库被整个科技业界广泛使用,而这个漏洞则可能会在全球范围内造成严重的安全影响。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwb

 

3.2024年加密货币盗窃案激增,4.94亿美元资产遭窃

【标签】加密货币

【概述】

去年,针对超过30万个钱包地址的加密货币钱包窃取攻击中,诈骗者盗走了价值4.94亿美元的加密货币。与2023年相比,这一数字增长了67% ,尽管受害者数量仅上升了3.7% ,这表明受害者平均持有的加密货币金额更大。这些数据来自Web3反诈骗平台“Scam Sniffer”,该平台一直在追踪钱包窃取活动,此前曾报告过影响多达10万人的攻击浪潮。钱包窃取器是专门设计用于从用户钱包中窃取加密货币或其他数字资产的钓鱼工具,通常部署在假冒或受攻击的网站上。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRw6

 

4.日本最大的移动运营商因DDoS攻击导致服务中断

【标签】DDoS

【概述】

日本最大的移动运营商NTT Docomo Inc.当地时间1月2日表示,一次分布式拒绝服务(DDoS)网络攻击导致运营中断,网站和一些服务在宕机大半天后才逐渐恢复。该公司表示,系统故障从早上5点27分左右持续到下午4点10分。该攻击用来自多个来源的垃圾流量淹没网络,导致某些服务不可用。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRvH

 

5.6w$赏金,微软身份漏洞-未授权强制解绑任意微软账户邮箱

【标签】微软

【概述】

发现这个微软账户类漏洞并不是因为我刻意去参加微软漏洞赏金计划,而是源自一场黑客入侵我的旧微软账户,根据有关情报披露,这场入侵与近期大范围撞库活动有关我在尝试找回我的旧微软账户时,发现了该漏洞,并成功将我的旧微软账户qq邮箱拯救出来,控制权再度回到我手中,避免了落入黑客之手。该漏洞表明微软账户绑定了任意邮箱或使用任意邮箱注册的账号,将受到此漏洞影响,攻击者可在未经授权情况下,通过该漏洞强制任意邮箱取消验证(解绑),且无法再在原微软账户上重新绑定该邮箱,解绑后攻击者可通过该邮箱重新注册微软账户。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRvA

 

6.新型Eagerbee恶意软件后门针对中东政府机构与ISP部署

【标签】Eagerbee

【概述】

针对中东地区政府机构与互联网服务提供商(ISP)的新型Eagerbee恶意软件框架变种正在被部署。据卡巴斯基研究人员的新报告指出,基于代码相似性和IP地址重叠,该恶意软件可能与名为“CoughingDown”的威胁组织存在潜在关联。“由于在同一天通过相同的Webshell创建服务以执行Eagerbee后门和CoughingDown核心模块,且Eagerbee后门与CoughingDown核心模块的C2域名存在重叠,我们较为确信地认为Eagerbee后门与CoughingDown威胁组织有关”,卡巴斯基解释道。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwE

 

7.LegionLoader滥用Chrome扩展传播多种恶意软件

【标签】LegionLoader

【概述】

据gbhackers消息,名为LegionLoader的恶意软件正通过Chrome扩展分发窃密软件,包括对受害者实施电子邮件操纵、跟踪浏览,甚至将受感染的浏览器转变为攻击者的代理服务器,使其能够使用受害者的凭证浏览网页。自2024年8月以来,研究人员观察到LegionLoader通过Chrome扩展程序分发各种窃取程序,包括LummaC2、Rhadamanthys和StealC,这些程序利用偷渡式下载和RapidShare来分发托管在MEGA上的有效载荷。这种特殊的加载程序具有截屏、管理加密货币账户和进行金融交易的功能。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRw7

 

8.Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险

【标签】CVE-2024-51741

【概述】

在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE-2024-51741和CVE-2024-46981,这凸显了Redis用户面临着重大的安全风险,也强调了及时更新和采取缓解措施的重要性。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwG

 

9.警惕!假冒社会保障局邮件链接暗藏ConnectWise RAT木马

【标签】ConnectWise RAT

【概述】

2024年9月出现了一场冒充美国社会保障局的网络钓鱼活动,它向电子邮件发送嵌入了ConnectWise远程访问木马(RAT)安装程序链接的电子邮件。这些电子邮件伪装成更新的福利声明,采用了各种技巧,包括不匹配的链接和“查看声明”按钮,以欺骗收件人。它最初利用ConnectWise基础设施进行命令和控制(C2),但后来转变为动态DNS服务和威胁行为者托管的域。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRx8

 

10.网络安全公司的Chrome扩展程序被劫持、植入后门以窃取用户数据!

【标签】Chrome

【概述】

目前至少有五个Chrome扩展程序在一次协同攻击中遭到入侵,威胁行为者注入了窃取用户敏感信息的代码。数据丢失防护公司Cyberhaven披露了一次攻击,该公司在12月24日成功对Google Chrome商店的管理员帐户进行网络钓鱼攻击后,向其客户发出了违规警报。Cyberhaven的客户包括Snowflake、摩托罗拉、佳能、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS、Upstart和Kirkland & Ellis。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRvK

 

Spread the word. Share this post!

Meet The Author