2024.11.22~11.28
攻击团伙情报
APT-C-48(CNC)组织近期钓鱼攻击活动分析报告
RomCom组织利用Firefox和Tor浏览器的零日漏洞发起攻击
APT-C-60 恶意活动利用合法服务
APT-K-47 使用朝觐主题诱饵传播新版 Asyncshell 恶意软件
APT28组织“Nearest Neighbor Attack”技术分析
间谍组织TAG-110在亚洲和欧洲造成 60 名受害者
攻击行动或事件情报
黑客滥用流行的 Godot 游戏引擎感染数千台电脑进行加密货币挖矿
PyPI 库 “aiocpa” 被发现通过 Telegram Bot 窃取加密密钥
攻击者动滥用有缺陷的 Avast Anti-Rootkit 驱动程序
攻击者借助Weebly服务瞄准电信和金融行业
恶意代码情报
黑客部署大规模新型 IoT 僵尸网络发起DDoS攻击
研究人员发现第一个针对 Linux 内核的 UEFI Bootkit“Bootkitty”
恶意软件针对 Magento 结账页面进行信用卡盗刷
去中心化的噩梦:隐藏在 P2P 网络下的后门 alphatronBot
WormHole勒索家族分析报告
漏洞情报
ProjectSend 存在严重缺陷并被公众服务器积极利用
攻击团伙情报
01
APT-C-48(CNC)组织近期钓鱼攻击活动分析报告
披露时间:2024年11月26日
情报来源:https://mp.weixin.qq.com/s/Xb8bEZMV3FHC1O6lWt-4pg
相关信息:
近期,360 监测到 APT-C-48(CNC)组织通过投递带有“简历”相关话题的钓鱼鱼叉邮件作为初始访问阶段攻击载荷,诱导用户打开携带的压缩包附件。这些附件中的恶意可执行文件图标被修改成 PDF 文件图标,文件名中加入大量空白字符以隐藏真实后缀名,进一步降低用户警惕性。
攻击流程包括投递钓鱼邮件、诱导用户打开恶意文件、下载伪装文档及后续攻击组件。恶意样本功能主要是下载器,采用 chacha20 算法动态解密相关字符串,以规避反病毒软件静态扫描。样本执行后,会动态获取 API 地址、解密字符串,并下载伪装 PDF 文档及相关攻击组件。此外,样本还会进行反调试和反虚拟机操作,如果发现处于调试环境或虚拟机中,将触发自毁机制。
技战术变化方面,CNC 组织采用了 COM 组件创建计划任务的形式进行样本持久化,并将后续攻击组件的启动从直接创建进程改为计划任务启动,以规避反病毒软件动态查杀。
02
RomCom组织利用Firefox和Tor浏览器的零日漏洞发起攻击
披露时间:2024年11月26日
情报来源:https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/
相关信息:
ESET研究人员在2024年10月8日发现了RomCom组织利用Mozilla产品中的一个未知零日漏洞(CVE-2024-9680),该漏洞允许在Firefox、Thunderbird和Tor浏览器的受限上下文中执行代码。结合另一个Windows中的未知零日漏洞(CVE-2024-49039),攻击者可以在登录用户的上下文中执行任意代码。成功攻击后,受害者只需浏览包含漏洞的网页,攻击者即可在无需任何用户交互的情况下运行任意代码,导致RomCom后门程序安装在受害者计算机上。
攻击链由一个虚假网站组成,该网站将潜在受害者重定向到托管漏洞的服务器,如果漏洞利用成功,则会执行 shellcode,下载并执行 RomCom 后门。shellcode 由两部分组成,第一部分从内存中检索第二部分并将包含的页面标记为可执行文件,而第二部分基于开源项目Shellcode Reflective DLL Injection (RDI) 实现 PE 加载器。加载的库实现了 Firefox 的沙盒逃逸,从而导致在受害者的计算机上下载并执行 RomCom 后门。
03
APT-C-60 恶意活动利用合法服务
披露时间:2024年11月26日
情报来源:https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html
相关信息:
JPCERT/CC最新确认,2024年8月,APT-C-60组织对日本国内组织实施了攻击。攻击者伪装成求职者,使用以求职为主题的诱饵来投放 SpyGlace 后门。该调查显示,入侵利用了 Google Drive、Bitbucket 和 StatCounter 等合法服务。
攻击链涉及使用一封网络钓鱼电子邮件,其中包含指向托管在 Google Drive 上的文件的链接,这是一个虚拟硬盘驱动器 (VHDX) 文件,下载并安装后,该文件包含一个诱饵文档和一个 Windows 快捷方式(“Self-Introduction.lnk”)。LNK 文件 Self-Introduction.lnk 使用合法的可执行文件 git.exe 执行 IPML.txt,IPML.txt 会打开诱饵文档并创建并保留下载程序 SecureBootUEFI.dat,并通过COM接口ID进行COM劫持,实现恶意软件SecureBootUEFI.dat的持久化。SecureBootUEFI.dat访问Bitbucket和StatCounter,用于确认感染状态和下载器上传。认受感染设备后,攻击者将下载器上传到Bitbucket。之后,SecureBootUEFI.dat 使用编码的唯一字符串访问 Bitbucket,下载 并运行Service.dat。该文件从不同的 Bitbucket 存储库下载另外两个工件 - “cbmp.txt”和“icon.txt” - 分别保存为“cn.dat”和“sp.dat”。这次使用的后门被ESET称为SpyGrace,其中的config包含版本信息,本次样本确认为v3.1.6。后门执行后与命令和控制服务器(“103.187.26[.]176”)建立联系,并等待进一步的指令,以允许其窃取文件、加载其他插件并执行命令。
04
APT-K-47 使用朝觐主题诱饵传播新版 Asyncshell 恶意软件
披露时间:2024年11月22日
情报来源:https://paper.seebug.org/3240/
相关信息:
近期,知道创宇404高级威胁情报团队在日常跟踪APT过程中发现了APT-K-47(Mysterious Elephant) 组织利用“朝觐”话题发起的攻击活动,攻击者利用CHM文件执行相同目录下的恶意载荷。最终载荷功能比较简单,仅支持cmd shell,且使用异步编程实现,这与该组织2023 年下半年以来曾多次使用的“Asynshell”极其相似。根据观察,本次捕获样本疑似为升级后的Asynshell,并将最新样本记为Asynshell-v4。相较于以往,此次样本特点包括利用base64变种算法隐藏字符串;伪装成正常的网络服务请求来下发C2;去除大量的log信息。
迄今为止,已发现多达四个不同版本的 Asyncshell,它们具有执行 cmd 和 PowerShell 命令的功能。已发现传播该恶意软件的初始攻击链利用 WinRAR 安全漏洞(CVE-2023-38831,CVSS 评分:7.8)来触发感染。此外,该恶意软件的后续迭代已从使用 TCP 转变为使用 HTTPS 进行命令和控制 (C2) 通信,更不用说利用更新的攻击序列,该序列采用 Visual Basic 脚本来显示诱饵文档并通过计划任务启动它。在近期的攻击活动中,该组织巧妙地通过伪装服务请求来控制最终的shell服务器地址,由之前版本的固定C2变为可变C2,足见APT-k-47组织内部对Asyncshell的重视。
05
APT28组织“Nearest Neighbor Attack”技术分析
披露时间:2024年11月22日
情报来源:https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/
相关信息:
2022 年 2 月 4 日,APT28组织使用“Nearest Neighbor Attack”技术,成功入侵了组织 A 附近的多个组织,从而允许他们从该入侵系统连接到组织 A 的企业 Wi-Fi 网络,攻击者试图收集具有乌克兰专业知识和积极参与乌克兰项目的个人的数据,Volexity研究人员将该活动归因于APT28组织。
根据调查,攻击者首先通过针对受害者面向公众的服务发起密码喷洒攻击,获取了目标企业 WiFi 网络的凭证。为了克服物理距离障碍,攻击者试图入侵组织 A 办公室附近建筑物内的其他组织,然后在该组织内横向移动,以找到可以访问的双宿主系统(即同时具有有线和无线网络连接),通过有线以太网连接到该网络系统,并使用其 Wi-Fi 适配器。此时,他们会连接到组织 A 的企业 Wi-Fi 的 SSID 并对其进行身份验证,从而获得访问组织 A 网络的权限。
APT28 在入侵过程中主要采取了“离地攻击”的方式,利用标准的 Microsoft 协议并横向移动。在入侵过程中,攻击者利用内置的 Windows 工具删除了他们创建的文件。观察到的另一种策略是尝试通过创建卷影副本来窃取活动目录数据库。此次事件中的大部分数据都被复制回了攻击者的系统,该系统已连接到 Wi-Fi。然而,少数情况下攻击者将数据暂存在面向公众的网络服务器上的目录中,然后通过外部下载被窃取。
APT28 的“附近邻居攻击”表明,近距离接触行动(通常需要靠近目标(例如停车场))也可以从远处进行,并且消除了被身体识别或抓住的风险。此外,微软 今年 4 月的一份报告介绍了APT28使用的名为 GooseEgg 的入侵后工具,其中包含的入侵指标 (IoC) 与 Volexity 的观察结果相重叠,并且CVE -2022-38028的利用也解释了最初的受害者系统是如何被入侵的。
06
间谍组织TAG-110在亚洲和欧洲造成 60 名受害者
披露时间:2024年11月21日
情报来源:https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-asia-and-europe
相关信息:
据 Recorded Future 报道,一个与俄罗斯有关的网络间谍组织在亚洲和欧洲造成了 60 多名受害者,主要涉及政府、人权和教育领域。该威胁行为者最初于 2023 年 5 月被确定为 TAG-110,其活动与 UAC-0063 重叠,乌克兰 CERT 团队已将其与俄罗斯国家支持的高级持续威胁 (APT) 行为者 APT28(也称为 BlueDelta、Fancy Bear、Forrest Blizzard、Sednit 和 Sofacy)联系起来。
TAG-110被发现针对塔吉克斯坦、吉尔吉斯斯坦、土库曼斯坦和哈萨克斯坦的实体部署了 HatVibe 和 CherrySpy,其他受害者还包括亚美尼亚、中国、印度、希腊、乌克兰、乌兹别克斯坦和匈牙利。自 2024 年 7 月以来,Recorded Future 已发现 62 名独特的 TAG-110 受害者,其中包括哈萨克斯坦国有石油和天然气公司子公司 KMG-Security、塔吉克斯坦教育和研究机构以及乌兹别克斯坦国家人权中心。
据观察,该组织依赖恶意电子邮件附件和利用易受攻击的面向互联网的服务(如 Rejetto HTTP 文件服务器 (HFS))进行初始访问,并使用 HatVibe 加载 CherrySpy 后门。HatVibe 是一种自定义 HTML 应用程序 (HTA) 加载器,允许威胁行为者执行从其命令和控制 (C&C) 服务器收到的任何 VBScript。CherrySpy 是一个自定义的 Python 后门,可设置持久性计划任务,使用安全通道进行 C&C 通信,并持续轮询 C&C 服务器以执行任务。
攻击行动或事件情报
01
黑客滥用流行的 Godot 游戏引擎感染数千台电脑进行加密货币挖矿
披露时间:2024年11月27日
情报来源:https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/
相关信息:
Check Point Research 最近揭露了一种新的恶意软件传播技术,利用流行的开源游戏引擎 Godot Engine 执行恶意 GDScript 代码,可以绕过几乎所有杀毒软件的检测。该技术允许攻击者跨多个平台(包括 Windows、macOS、Linux、Android 和 iOS)感染设备。潜在的攻击场景可能涉及超过120万使用 Godot 开发游戏的用户。这些场景涉及利用合法的 Godot 可执行文件以模组或其他可下载内容的形式加载恶意脚本。
使用这种新技术的恶意软件名为 GodLoader ,自 2024 年 6 月 29 日起被使用,已感染超过 17,000 台机器。GodLoader 通过 Stargazers Ghost Network 分发,这是一个伪装成合法服务的 GitHub 网络。攻击者可能会利用合法的 Godot 可执行文件加载恶意脚本。恶意文件一旦加载,就会在受害者的设备上触发恶意代码,使攻击者能够窃取凭据或下载其他有效负载,包括 XMRig 加密挖矿程序。此挖矿恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中,该文件在整个活动期间被访问了 206,913 次。
02
PyPI 库 “aiocpa” 被发现通过 Telegram Bot 窃取加密密钥
披露时间:2024年11月21日
情报来源:https://blog.phylum.io/python-crypto-library-updated-to-steal-private-keys/
相关信息:
Phylum的自动化风险检测平台发现,PyPI上的aiocpa包在更新到版本0.1.13时被植入了恶意代码。这些代码在用户初始化该加密库时,会将私钥通过Telegram泄露给攻击者。攻击者在PyPI上发布了这个恶意更新,但故意保持了该包的GitHub仓库中没有恶意代码,以此来逃避检测。
aiocpa软件包被描述为同步和异步Crypto Pay API客户端。该软件包最初于 2024 年 9 月发布,自发布以来一直在接受适当的更新,迄今为止已被下载 12,100 次。在2024年11月20日发布的0.1.13版本中,攻击者在cryptopay/utils/sync.py中插入了一个高度混淆的代码块,该代码块在utils.sync模块的顶层执行,并且会在模块被导入时执行。该恶意代码块被递归编码和压缩了50次,解压缩后显示,攻击者覆盖了CryptoPay类的__init__方法,将其作为一个包装器,调用原始方法后,将所有参数(包括最重要的token)作为消息发送到攻击者的Telegram机器人。
值得注意的是,该包的PyPI主页指向一个GitHub仓库,但该仓库中的相同文件并没有恶意负载,表明攻击者在本地副本中添加了恶意负载,然后将其发布到PyPI,而GitHub仓库则保持无恶意软件的状态。这一事件意义重大,尤其是因为它强调了在下载软件包之前扫描软件包源代码的重要性,而不是仅仅检查其关联的存储库。
03
攻击者动滥用有缺陷的 Avast Anti-Rootkit 驱动程序
披露时间:2024年11月20日
情报来源:https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/
相关信息:
Trellix 研究团队最近发现了一个恶意活动,这种恶意软件没有绕过防御,通过释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 并操纵它来执行其破坏性计划。该恶意软件利用驱动程序提供的深度访问权限来终止安全进程、禁用保护软件并夺取对受感染系统的控制权。威胁行为者针对多种产品,包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。
恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。一旦合法的内核驱动程序被删除,恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”,该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后,恶意软件将获得内核级系统访问权限,从而能够终止关键安全进程并控制系统。Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行,允许恶意软件获得对操作系统的不受限制的访问权限。
04
攻击者借助Weebly服务瞄准电信和金融行业
披露时间:2024年11月21日
情报来源:https://blog.eclecticiq.com/financially-motivated-threat-actor-leveraged-google-docs-and-weebly-services-to-target-telecom-and-financial-sectors
相关信息:
2024年10月下旬,EclecticIQ确定了一场针对电信和金融部门的网络钓鱼活动。据悉,活动涉及利用Google Docs发送钓鱼链接,以将受害者重定向到Weebly上托管的虚假登录页面。其中,Weebly是一种合法的、用户友好的网站构建服务,但因其易用性、低成本托管和知名度得到了出于财务动机的犯罪分子的广泛关注。此次活动,攻击者通过使用Google的可信域名进行初始交付,绕过了标准电子邮件过滤器和端点保护,还利用动态DNS进行子域轮换以使钓鱼页面保持活跃。期间,攻击者针对电信和金融部门的用户,定制了各种钓鱼页面,包括模仿AT&T等电信公司和美国及加拿大的金融机构的登录页面。此外,攻击者还使用了伪造的多因素身份验证(MFA)提示来增加钓鱼的成功率,并利用合法的跟踪工具来监控受害者的行为。
恶意代码情报
01
黑客部署大规模新型 IoT 僵尸网络发起DDoS攻击
披露时间:2024年11月28日
情报来源:https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/
相关信息:
Aqua Nautilus 的网络安全研究人员发现了一个 Matrix 发起的新型分布式拒绝服务 ( DDoS ) 活动,其潜在影响十分巨大,近 3500 万台联网设备可能面临风险。根据调查结果,Matrix 的目标是庞大的互联网IoT设备,包括物联网设备、摄像头、路由器、DVR 和企业系统。攻击者还瞄准常见协议和应用程序,例如 telnet、SSH、Hadoop 和 HugeGraph,利用漏洞和错误配置来访问更强大的服务器基础设施。
研究人员在各种脚本中确定了 10 个 CVE。其中最新的漏洞是CVE-2024-27348,涉及 HugeGraph。大多数漏洞都集中在 IoT 设备上(CVE-2022-30525、CVE-2022-30075、CVE-2018-10562、CVE-2018-10561、CVE-2018-9995、CVE-2017-18368、CVE-2017-17215、CVE-2017-17106和CVE-2014-8361)。这些漏洞与广泛存在的弱凭证相结合,为恶意攻击者创造了巨大的攻击面。大多数活动(约 95%)发生在工作日。
Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本,主要用 Python、Shell 和 Golang 编写。这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击,以及利用 Discord 进行通信和远程控制。
02
研究人员发现第一个针对 Linux 内核的 UEFI Bootkit“Bootkitty”
披露时间:2024年11月27日
情报来源:https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/
相关信息:
ESET的研究团队最近发现了首个针对Linux系统的UEFI bootkit,名为Bootkitty。这个发现打破了之前UEFI bootkits主要针对Windows系统的传统。Bootkitty的主要目标是禁用内核的签名验证功能,并通过Linux初始化进程预加载两个未知的ELF二进制文件。尽管Bootkitty被认为只是一个初步的概念验证,尚未在野外部署,但其存在强调了UEFI bootkits威胁已经扩展到Linux系统。
值得注意的是,Bootkitty 由自签名证书签名,因此除非已安装攻击者控制的证书,否则无法在启用了 UEFI 安全启动的系统上执行。无论 UEFI 安全启动状态如何,bootkit 主要用于在内存中启动 Linux 内核和补丁,在执行GNU GRand Unified Bootloader ( GRUB ) 之前对函数的完整性验证做出响应。具体来说,如果安全启动被启用,它会继续从 UEFI 身份验证协议中挂钩两个函数,从而绕过 UEFI 完整性检查。随后,它还会修补合法 GRUB 引导加载程序中的三个不同函数,以绕过其他完整性验证。
对 bootkit 的调查还发现了一个可能相关的未签名内核模块,该模块能够部署一个名为 BCDropper 的 ELF 二进制文件,该二进制文件会在系统启动后加载另一个尚未知晓的内核模块。该内核模块的作者也以 BlackCat 命名,它实现了其他与 rootkit 相关的功能,例如隐藏文件、进程和打开端口。目前尚无证据表明该软件与 ALPHV/BlackCat 勒索软件组织存在关联。
03
恶意软件针对 Magento 结账页面进行信用卡盗刷
披露时间:2024年11月26日
情报来源:https://blog.sucuri.net/2024/11/credit-card-skimmer-malware-targeting-magento-checkout-pages.html/
相关信息:
Sucuri 在例行调查中发现了一种针对 Magento 网站的恶意 JavaScript 注入攻击,这种信用卡窃取恶意软件专门针对结账流程。该恶意软件能够动态创建假信用卡表单或直接提取支付字段,并且只在结账页面激活。被盗数据被加密后传输到远程服务器。
该恶意软件结合了文件系统和数据库恶意软件的特点,利用高级混淆技术来避免检测。
调查发现,恶意脚本位于 XML 文件的
04
去中心化的噩梦:隐藏在 P2P 网络下的后门 alphatronBot
披露时间:2024年11月28日
情报来源:https://mp.weixin.qq.com/s/qV7NaA2MIYOewcUergWs8A
相关信息:
奇安信威胁情报中心在日常运营中监测到一款名为alphatronBot的后门程序,该程序基于P2P协议,通过PubSub聊天室形式进行控制。alphatronBot内置了700多个受感染的P2P C2节点,影响Linux和Windows双平台,国内大量政企受到感染。该后门程序具备远程控制功能,并能下发特定payload。溯源发现alphatronBot最早出现于2023年初,并在2024年4月进行了重构,目前受感染的P2P节点被用作网络代理进行爆破活动。
alphatronBot通常作为第二阶段载荷被攻击者通过curl命令远程下发,可能加入了MAAS分发机制,利用通用攻击面进行传播。该后门程序由开源项目manishmeganathan/peerchat修改而来,通过libp2p实现聊天室程序。攻击者在此基础上进行了修改,包括检测自身是否在特定目录下、注册为P2P节点、内置P2P节点、通过PubSub方式实现节点间通信等。攻击者修改了项目的UI逻辑,将接收到消息后的打印函数display.chatmessage改为执行CMD命令,从而实现远控功能。修改后的display.chatmessage会将接收到的消息写入temp文件夹下的zc01.cmd,并通过cmd执行。
溯源分析显示,2023年版本的alphatronBot由Qt库编写,功能与2024年的类似,影响范围遍及全球。后门连接到P2P分布式网络后会接收命令进行探测和检查。受感染的P2P网络由80个国家和地区受感染的网络设备组成,包括MikroTik路由器、Hikvision摄像头、VPS服务器等。国内影响范围广泛,涉及多个行业。
05
WormHole勒索家族分析报告
披露时间:2024年11月26日
情报来源:https://mp.weixin.qq.com/s/LRV5i4ZpBP4EsK9r1byz8g
相关信息:
奇安信病毒响应中心对WormHole勒索病毒家族进行了深入分析。WormHole是一种于2024年4月首次出现的勒索病毒,使用AES-CBC算法加密目标文件,并要求受害者支付比特币作为赎金。被加密的文件后缀名被更改为“.Wormhole”,并且病毒会在加密目录下创建勒索信。奇安信的天擎产品能够对WormHole家族进行精准查杀,包括静态和动态行为查杀,并且奇安信勒索解密还原工具已经集成了对该勒索家族的解密还原功能。
分析显示WormHole病毒在运行中会尝试停止274个服务和96个进程,并静默删除卷影,防止用户恢复被加密的文件。病毒会在启动后初始化大小分别为0x20和0x10的两组随机数,通过后续分析得出这两个数据是后续加密文件时会用到的AES256的key和iv,并且会使用样本内置的RSA公钥加密key和iv,并将结果作为用户的Wormhole ID,后续写入到勒索信中。该病毒在加密文件时使用了AES256-CBC算法,并且会使用内置的RSA公钥加密AES密钥和初始化向量,此外报告还罗列了其不加密的目录和文件列表。
漏洞情报
01
ProjectSend 存在严重缺陷并被公众服务器积极利用
披露时间:2024年11月25日
情报来源:https://vulncheck.com/blog/projectsend-exploited-itw
相关信息:
根据VulnCheck 的发现,影响 ProjectSend 开源文件共享应用程序的一个严重安全漏洞可能已遭到广泛利用。该漏洞最初在一年半前作为 2023 年 5 月提交的一部分进行修补,直到 2024 年 8 月版本 r1720 发布后才正式公布。截至 2024 年 11 月 26 日,该漏洞已被分配 CVE 标识符CVE-2024-11680(CVSS 评分:9.8)。
VulnCheck 观察到未知威胁行为者利用Project Discovery和Rapid7发布的漏洞代码针对面向公众的 ProjectSend 服务器进行攻击。据信这些攻击尝试始于 2024 年 9 月。此外,还发现攻击可以利用用户注册功能获得后续利用的后身份验证权限,这表明攻击并不局限于扫描存在漏洞的实例。
对大约 4,000 台暴露在互联网上的 ProjectSend 服务器的分析显示,其中仅有 1% 正在使用修补版本 (r1750),其余所有实例都运行未命名的版本或 2022 年 10 月发布的版本 r1605。建议用户尽快应用最新补丁,以减轻主动威胁。
点击阅读原文至ALPHA 7.0
即刻助力威胁研判