网络安全 频道

安全周报|黑客入侵合法网站伪装更新分发BadSpace;华硕警告存在严重漏洞

  神秘网络的Spinning YARN威胁行动者已发起新一轮的加密劫持活动,将大网撒向公开暴露的Docker引擎主机。攻击者一直在利用配置不当的Docker、Apache Hadoop、Redis和Confluence服务器中经常被忽视的漏洞。

  一种名为DISGOMOJI的新型Linux恶意软件浮出水面。它利用有趣的表情符号伪装,并通过Discord进行命令和控制,这种恶意软件以令人胆寒的精确度瞄准印度的政府机构。

  同时,在网络安全领域,华硕已推出重要的固件更新,以解决威胁其七款路由器型号的严重身份验证绕过漏洞。若此漏洞未得到检查,可能会允许远程攻击者夺取这些设备的控制权。

  Spinning YARN发起加密劫持活动

  Spinning YARN威胁行动者使用新的二进制文件和持久性机制,针对公开暴露的Docker引擎主机发起了新的加密劫持活动。该活动利用配置不当的Docker、Apache Hadoop、Redis和Confluence服务器,获得对系统的完全访问权限,并为恶意活动安装持久性。已发现新的有效载荷,表明该活动仍在持续发展。

  黑客入侵合法网站伪装更新分发BadSpace

  被入侵的合法网站正被用作传播Windows后门程序BadSpace,攻击者将网站伪装成浏览器更新作为幌子欺骗目标访问。研究人员在一份报告中表示:“威胁行为体使用多阶段的攻击链,涉及被感染的网站、命令与控制(C2)服务器,以及用于在受害者系统中部署BadSpace后门的JScript下载器。”

  威胁行为者利用Discord平台发动网络间谍攻击

  一种名为DISGOMOJI的新型Linux恶意软件被发现,它在攻击印度政府机构时使用表情符号和Discord进行命令和控制。该恶意软件会窃取系统信息,并使用九个表情符号在受感染的设备上执行命令,通过@reboot cron命令和其他机制保持持久性。它通过钓鱼邮件分发,专门针对印度政府机构使用的自定义Linux发行版。该恶意软件可在设备上保持持久性,并可以绕过寻找基于文本的命令的安全软件,使其成为一个独特且令人担忧的威胁。

  网络间谍活动投放PlugX

  Velvet Ant利用传统的F5 BIG-IP设备作为内部命令和控制以进行防御规避。此次攻击涉及使用PlugX后门和开源工具进行横向移动。威胁行动者部署了两个版本的PlugX,其中一个使用内部文件服务器进行命令和控制,以融入合法的网络活动。此外,还滥用了过时的F5 BIG-IP设备作为隐蔽的通信渠道。目前确切的初始访问媒介尚不清楚。

  华硕警告存在严重漏洞

  华硕已发布固件更新,以解决影响七款路由器型号的严重身份验证绕过漏洞(CVE-2024-3080),该漏洞允许远程攻击者夺取设备的控制权。建议用户更新到最新的固件并加强其帐户和WiFi密码。此外,还解决了其他漏洞,如缓冲区溢出问题和任意固件上传问题。某些路由器型号已达到使用寿命,将不会收到安全更新。华硕还宣布更新Download Master以解决中到高严重性的问题。

  勒索软件攻击利用Windows漏洞

  CISA向其KEV目录中添加了一个高严重性的Windows漏洞,CVE-2024-26169。该漏洞是由Windows错误报告服务中的不当权限管理弱点引起的。此漏洞允许本地攻击者在无需用户交互的情况下获得高级权限。微软已发布补丁,但有证据表明,在补丁发布之前,Black Basta勒索软件集团已利用该漏洞。CISA已指示联邦机构在三周内修补该漏洞,以防止勒索软件攻击。

0
相关文章