TikTok在美命运或迎来大逆转!特朗普赞成其继续运营;木马病毒大肆传播!微信发布紧急公告 | 牛览
2024-12-23 07:11:47 Author: www.aqniu.com(查看原文) 阅读量:8 收藏

TikTok在美命运或迎来大逆转!特朗普赞成其继续运营;木马病毒大肆传播!微信发布紧急公告 | 牛览

日期:2024年12月23日 阅:60


新闻速览

•国家网信办发布第九批深度合成服务算法备案信息

•TikTok在美命运或迎来大逆转!特朗普赞成其继续运营

•LockBit 勒索组织拟卷土重来,4.0版或将于明年2月发布

•美国两家汽车保险公司因数据泄露被罚8200万元

•网络钓鱼团伙Rockstar  2FA 倒下,FlowerStorm  崛起?

•移动网络钓鱼新趋势:模仿合法服务针对企业高管发起攻击

•BadBox 恶意软件加速蔓延,或已感染 19.2 万安卓设备

•Juniper预警:Mirai 僵尸网络正利用默认密码攻击 SSR 设备

•Fortinet官方披露无线管理器漏洞,路径遍历或致设备易主

•Citrix 收购两家初创安全公司,加速推进零信任安全战略

特别关注

国家网信办发布第九批深度合成服务算法备案信息

根据《互联网信息服务深度合成管理规定》,国家网信办日前公开发布第九批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。任何单位或个人如有疑议,请发送邮件至[email protected],提出疑议应以事实为依据,并提供相关证据材料。

《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。

原文链接:

https://mp.weixin.qq.com/s/64AUPhQZIY0h9vrxAJUnIQ

热点观察

TikTok在美命运或迎来大逆转!特朗普赞成其继续运营

据央视新闻消息,当地时间12月22日,美国当选总统特朗普在亚利桑那州发表讲话时表示,他赞成TikTok在美国继续运营一段时间。这是特朗普迄今为止反对TikTok退出美国市场最强烈的信号之一。

此前,美国国会及部分议员曾无端指责TikTok可能与中国共享美国用户数据,从而威胁美国国家安全,并提出“保护美国人免受外国对手控制的应用程序法案” 。美国总统拜登于4月24日签署法案,要求TikTok母公司字节跳动在270天内将TikTok出售给非中国企业。5月7日,TikTok提起诉讼,要求美国法院阻止这项法案,但哥伦比亚特区联邦巡回上诉法院12月6日驳回了上诉。

12月18日,美国最高法院宣布就禁止TikTok在美国运营的法案再次进行讨论。据报道,美国最高法院将于1月10日就此案进行辩论,允许法院在1月19日法律生效前对该问题作出裁决,也就是特朗普就职典礼的前一天。12月16日,TikTok要求美国联邦最高法院临时冻结美政府针对该平台的强迫出售令。

特朗普在回答记者关于“你打算下个月解除对TikTok的禁令吗?”的问题时表示,在参加总统竞选期间,他在TikTok上发布的视频获得了数十亿的浏览量。“你知道,我对TikTok有好感,因为我在大选中以34个百分点的优势赢得了年轻人的支持。有人说TikTok在其中发挥了作用。”

原文链接:

https://mp.weixin.qq.com/s/0Nds5P8mi2fgvXR7uEKZvg

木马病毒大肆传播!微信紧急公告

近日,“微信安全中心”紧急提醒:近期有不法分子利用微信社交平台大范围传播木马病毒,用户一旦通过电脑终端,点击运行相关程序文件,其电脑将面临被远程控制的风险。

根据公告,不法分子首先通过网站、邮箱、社交平台等渠道传播伪装成其他正常文件的木马病毒,待用户点击运行之后,不法分子通过远程操控用户电脑,以受害者账号作为媒介实施诈骗。若未能及时清除病毒程序,不法分子还可能会持续窃取用户密码和浏览敏感信息等。

微信团队还曝光了一批昵称为“xx老板”“xx总监”“xx经理”等,以及涉企、涉公字样的违规账号。公告透露,社交平台常见的木马病毒传播手法是:不法分子首先通过更换头像和昵称等手段伪装成企业职员或公司领导,然后发布被伪装成报税工具、办公软件、电子发票、涉税文件等的木马病毒,诱导相关人员点击查看。

微信安全中心提醒:若打开了可疑内容或电脑上出现可疑行为,应及时退出电脑所登录的重要账号,并对电脑进行全面查杀,确保木马病毒被清理干净之后再正常启用电脑。同时表示,上述违法违规行为经核实确认后,将根据违规严重程度对相关账号进行阶梯式处罚。

原文链接:

https://mp.weixin.qq.com/s/Nl9unHo8AVnBd7hcP7oN5g

LockBit 勒索组织拟卷土重来,4.0版或将于明年2月发布

据 Cyble 暗网研究人员近日发布报告称,LockBit 勒索软件组织将很快卷土重来,计划于 2025 年 2 月3日发布 LockBit 4.0,其中包含用于访问其暗泄漏站点的密钥。LockBit 在遭受重大打击、逮捕行动和解密密钥发布后能否成功复出,仍有待观察。

自 LockBit 3.0 发布以来已过去两年多,据说在执法行动时开展时LockBit 正在开发 4.0 版本。如果执法部门获取了任何源代码的访问权限,源代码可能需要进行重大更改。Cyble 研究人员指出,由于该组织在与目前主导勒索软件领域的其他 RaaS 组织(如)的竞争中面临信誉下降的问题,因此不确定 LockBit 是否会重新获得吸引力。

RaaS 模式在勒索软件组织中越来越受欢迎,他们出售工具、操作手册和基础设施以换取部分利润。由于LockBit要与其基于已泄露源代码构建的勒索软件版本竞争,其复出之路似乎面临重大障碍。

原文链接:

https://thecyberexpress.com/lockbit-ransomware-comeback-lockbit-4-0/

美国两家汽车保险公司因数据泄露被罚8200万元

日前,美国纽约监管机构对GEICO保险公司和Travelers Indemnity Company公司两家汽车保险公司处以 1130万美元(约合人民币8200万元)罚款,因其未能防止数据泄露,导致12万居民个人敏感信息被泄露。

2020年11月,GEICO 遭遇数据泄露,其汽车保险报价工具受影响,攻击者得以从面向公众的网站窃取敏感个人信息。2021年4月,Traveler 也遭遇数据泄露,并收到大量警报,显示攻击者通过利用其保险报价工具访问客户的驾照号码并生成报告。攻击者使用被盗凭证入侵该公司未采用多因素身份验证保护的保险代理门户。

这两家公司因未能预防和妥善应对网络攻击,致使黑客窃取了这些居民包括驾照号码在内的敏感信息,并进行欺诈性就业索赔。GEICO 将支付975万美元,Traveler则支付剩余的155万美元。除了罚款,纽约当局要求相关汽车保险公司实施强有力的网络安全措施,以防止未来发生类似的数据泄露。

原文链接:

https://www.cpomagazine.com/cyber-security/new-york-fines-auto-insurance-companies-geico-and-traveler-nearly-12-million-over-data-breaches/

网络钓鱼团伙Rockstar 2FA 倒下,FlowerStorm崛起?

近期,Sophos MDR 发现 Rockstar2FA“钓鱼即服务”(PaaS)平台的检测数据突然沉寂,而一组被标记为“FlowerStorm”的类似 PaaS 门户的使用量激增。但相似的域名注册模式可能表明FlowerStorm和Rockstar协同工作。

据 Sophos MDR收集的数据,运营Rockstar2FA平台的组织的基础设施至少部分崩溃,与该服务相关的页面无法访问。这似乎并非由于执法取缔行动,而是服务后端的技术故障所致。Rockstar2FA消失在 TrustWave 发布有关该钓鱼即服务行动的研究两周之前。该钓鱼服务基础设施的部分元素如今已无法访问,返回 HTTP 522 响应,表明它们与 Cloudflare 内容分发网络的连接已中断。与该服务指挥控制相关的 Telegram 频道似乎也已离线。

在 Rockstar2FA 中断后的数周内,FlowerStorm PaaS平台使用量激增,最晚自 2024 年 6 月起就已活跃。FlowerStorm与Rockstar以及另一个由Telegram机器人驱动的PaaS平台Tycoon有诸多相似之处。FlowerStorm门户在向目标发送身份验证请求时使用的URL与向“后端门户”发送通信请求时使用的URL相同。并非所有钓鱼页面都使用相同的后端服务器结构。

原文链接:

网络攻击

移动网络钓鱼新趋势:模仿合法服务针对企业高管发起攻击

Zimperium 的网络钓鱼和数据分析团队发现了近期一场针对高管的鱼叉式网络钓鱼活动。这些活动借助移动设备,采用社会工程策略来窃取有价值的凭据并获取对敏感信息的访问权限,模仿诸如 DocuSign 和谷歌等合法服务,利用紧迫性和可信度来欺骗受害者。

攻击活动使用验证码、特定于移动设备的虚假登录页面以及被入侵的域名,以此绕过检测机制。攻击者还利用 Cloudflare 等平台进行SSL加密和DDoS防护,使得检测工作更为复杂。攻击始于一个看似无害、伪装成 DocuSign 文档的链接,其使用合法域名(clickmethryvcom)来掩盖来源。一旦点击就会启动一系列重定向。首先,它重定向到一个受感染的大学网站,利用其可信度绕过检测。

研究人员指出,攻击者使用验证码来防止自动检测,并实施了特定于移动设备的定向攻击。此外,如果通过移动设备访问链接,攻击会呈现一个虚假的谷歌登录页面以窃取凭据,而桌面端则会被重定向到合法的谷歌网站。研究还发现,钓鱼网站(diitalwaveru)及其 SSL 证书在攻击前几天才创建,凸显了攻击者注重快速部署。

原文链接:

BadBox 恶意软件加速蔓延,或已感染 19.2 万安卓设备

BitSight 的安全研究人员日前警告称,BadBox 安卓恶意软件僵尸网络正在加速蔓延,或已在全球感染超过 19.2万设备,并将攻击目标扩展到更知名且受信任的移动品牌。

BadBox 是一种被认为基于“Triada”恶意软件家族的安卓恶意软件,它通过对固件的供应链攻击、不良员工操作或在产品进入分销阶段时进行注入,来感染小众制造商生产的设备。2023 年初在T95 安卓电视盒子上首次发现该恶意软件。此后,恶意软件活动已扩展到其他在线销售的不知名产品。

BadBox 活动的目的是获取经济利益,通过将设备转变为住宅代理或利用其执行广告欺诈来实现。这些住宅代理随后可能将其租网络犯罪分子,他们将设备用作代理来进行攻击或其他欺诈活动。此外,BadBox 恶意软件还可用于在安卓设备上安装其他恶意有效载荷,从而开展更危险的操作。

德国联邦信息安全办公室(BSI)近日宣布,他们破坏了BadBox恶意软件在该国的活动,切断了 3 万安卓设备的通信。这些设备主要是基于安卓的数字相框和媒体流盒子,但 BSI 警告称,BadBox 很可能存在于更多产品类别中。

原文链接:

https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/

Juniper预警:Mirai 僵尸网络正利用默认密码攻击 SSR 设备

Juniper Networks 日前发出警告,称在 2024 年 12 月初监测到异常活动报告后,发现一个 Mirai 僵尸网络正利用默认密码大肆攻击 Session Smart Router(SSR)设备。

多个客户报告了其SSN平台上存在异常活动。威胁行为者最初入侵了这些设备,然后将它们用于 DDoS 攻击。Juniper Networks 发布的报告指出,这些系统已被 Mirai 恶意软件感染,随后被用作对其网络可访问的其他设备进行 DDoS 攻击的源头。受影响的系统均使用默认密码。

Mirai活动的迹象包括异常的端口扫描、频繁的SSH登录失败、出站流量激增、设备行为异常以及来自恶意 IP的连接。为降低遭受这些威胁的风险,建议用户更改默认凭证、使用强密码、审查访问日志、部署防火墙和 IDS/IPS 并保持固件更新。

原文链接:

https://securityaffairs.com/172157/malware/juniper-networks-mirai-botnet.html

漏洞预警

Fortinet官方披露无线管理器漏洞,路径遍历或致设备易主

网络安全公司 Fortinet日前官方披露了其无线管理器(FortiWLM)中的一个关键安全漏洞(CVE-2023-34990)。该漏洞允许远程攻击者通过特制的网络请求执行未经授权的代码或命令,从而接管设备。

FortiWLM 是用于监控、管理和优化无线网络的集中管理工具,被政府机构、医疗机构、教育机构和大型企业广泛使用。CVE-2023-34990是一个相对路径遍历漏洞。攻击者可利用该漏洞窃取管理员会话ID。通过在“op_type”设置为“upgradelogs”时在“imagename”参数中使用目录遍历技术,攻击者能够读取系统中的敏感日志文件。这些日志通常包含管理员会话ID,可用于劫持管理员会话并获取特权访问,从而接管设备。

该漏洞影响 FortiWLM 8.6.0至8.6.5以及8.5.0 至8.5.4版本。由于FortiWLM 在关键环境中的部署,远程入侵可能导致网络范围的中断和敏感数据泄露。强烈建议 FortiWLM 管理员在有可用更新时及时应用。

原文链接:

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-fortiwlm-bug-giving-hackers-admin-privileges/

产业动态

Citrix 收购两家初创安全公司,加速推进零信任安全战略

Citrix Systems 日前宣布已完成收购 deviceTRUST 和 strong.network 两家公司,以实现其为混合工作环境强化零信任安全解决方案的目标。这两项收购旨在增强 Citrix 在混合及云环境中保护关键任务应用程序的能力,同时提升开发人员的工作效率与安全性。

deviceTRUST 提供专注于虚拟桌面基础设施和桌面即服务的实时情境访问解决方案,使企业能够通过持续监控设备状态、用户位置及其他访问情境来保障数字工作空间安全。这有助于 IT 团队依据不断变化的安全状况授予或撤销权限,从而增强数据保护并降低远程工作相关风险。

而strong.network 专注于安全的云开发环境。其自托管平台运用软件容器来集中和保护编码工作空间,同时为分布式软件开发团队提供支持,可防止敏感数据泄露并确保知识产权保护。该软件还符合诸如 ISO 27001 和美国国家标准与技术研究院指南等行业安全标准。

原文链接:

https://www.scworld.com/brief/citrix-acquisitions-poised-to-enhance-zero-trust-security


新闻速览

•国家网信办发布第九批深度合成服务算法备案信息

•TikTok在美命运或迎来大逆转!特朗普赞成其继续运营

•LockBit 勒索组织拟卷土重来,4.0版或将于明年2月发布

•美国两家汽车保险公司因数据泄露被罚8200万元

•网络钓鱼团伙Rockstar  2FA 倒下,FlowerStorm  崛起?

•移动网络钓鱼新趋势:模仿合法服务针对企业高管发起攻击

•BadBox 恶意软件加速蔓延,或已感染 19.2 万安卓设备

•Juniper预警:Mirai 僵尸网络正利用默认密码攻击 SSR 设备

•Fortinet官方披露无线管理器漏洞,路径遍历或致设备易主

•Citrix 收购两家初创安全公司,加速推进零信任安全战略

特别关注

国家网信办发布第九批深度合成服务算法备案信息

根据《互联网信息服务深度合成管理规定》,国家网信办日前公开发布第九批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。任何单位或个人如有疑议,请发送邮件至[email protected],提出疑议应以事实为依据,并提供相关证据材料。

《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。

原文链接:

https://mp.weixin.qq.com/s/64AUPhQZIY0h9vrxAJUnIQ

热点观察

TikTok在美命运或迎来大逆转!特朗普赞成其继续运营

据央视新闻消息,当地时间12月22日,美国当选总统特朗普在亚利桑那州发表讲话时表示,他赞成TikTok在美国继续运营一段时间。这是特朗普迄今为止反对TikTok退出美国市场最强烈的信号之一。

此前,美国国会及部分议员曾无端指责TikTok可能与中国共享美国用户数据,从而威胁美国国家安全,并提出“保护美国人免受外国对手控制的应用程序法案” 。美国总统拜登于4月24日签署法案,要求TikTok母公司字节跳动在270天内将TikTok出售给非中国企业。5月7日,TikTok提起诉讼,要求美国法院阻止这项法案,但哥伦比亚特区联邦巡回上诉法院12月6日驳回了上诉。

12月18日,美国最高法院宣布就禁止TikTok在美国运营的法案再次进行讨论。据报道,美国最高法院将于1月10日就此案进行辩论,允许法院在1月19日法律生效前对该问题作出裁决,也就是特朗普就职典礼的前一天。12月16日,TikTok要求美国联邦最高法院临时冻结美政府针对该平台的强迫出售令。

特朗普在回答记者关于“你打算下个月解除对TikTok的禁令吗?”的问题时表示,在参加总统竞选期间,他在TikTok上发布的视频获得了数十亿的浏览量。“你知道,我对TikTok有好感,因为我在大选中以34个百分点的优势赢得了年轻人的支持。有人说TikTok在其中发挥了作用。”

原文链接:

https://mp.weixin.qq.com/s/0Nds5P8mi2fgvXR7uEKZvg

木马病毒大肆传播!微信紧急公告

近日,“微信安全中心”紧急提醒:近期有不法分子利用微信社交平台大范围传播木马病毒,用户一旦通过电脑终端,点击运行相关程序文件,其电脑将面临被远程控制的风险。

根据公告,不法分子首先通过网站、邮箱、社交平台等渠道传播伪装成其他正常文件的木马病毒,待用户点击运行之后,不法分子通过远程操控用户电脑,以受害者账号作为媒介实施诈骗。若未能及时清除病毒程序,不法分子还可能会持续窃取用户密码和浏览敏感信息等。

微信团队还曝光了一批昵称为“xx老板”“xx总监”“xx经理”等,以及涉企、涉公字样的违规账号。公告透露,社交平台常见的木马病毒传播手法是:不法分子首先通过更换头像和昵称等手段伪装成企业职员或公司领导,然后发布被伪装成报税工具、办公软件、电子发票、涉税文件等的木马病毒,诱导相关人员点击查看。

微信安全中心提醒:若打开了可疑内容或电脑上出现可疑行为,应及时退出电脑所登录的重要账号,并对电脑进行全面查杀,确保木马病毒被清理干净之后再正常启用电脑。同时表示,上述违法违规行为经核实确认后,将根据违规严重程度对相关账号进行阶梯式处罚。

原文链接:

https://mp.weixin.qq.com/s/Nl9unHo8AVnBd7hcP7oN5g

LockBit 勒索组织拟卷土重来,4.0版或将于明年2月发布

据 Cyble 暗网研究人员近日发布报告称,LockBit 勒索软件组织将很快卷土重来,计划于 2025 年 2 月3日发布 LockBit 4.0,其中包含用于访问其暗泄漏站点的密钥。LockBit 在遭受重大打击、逮捕行动和解密密钥发布后能否成功复出,仍有待观察。

自 LockBit 3.0 发布以来已过去两年多,据说在执法行动时开展时LockBit 正在开发 4.0 版本。如果执法部门获取了任何源代码的访问权限,源代码可能需要进行重大更改。Cyble 研究人员指出,由于该组织在与目前主导勒索软件领域的其他 RaaS 组织(如)的竞争中面临信誉下降的问题,因此不确定 LockBit 是否会重新获得吸引力。

RaaS 模式在勒索软件组织中越来越受欢迎,他们出售工具、操作手册和基础设施以换取部分利润。由于LockBit要与其基于已泄露源代码构建的勒索软件版本竞争,其复出之路似乎面临重大障碍。

原文链接:

https://thecyberexpress.com/lockbit-ransomware-comeback-lockbit-4-0/

美国两家汽车保险公司因数据泄露被罚8200万元

日前,美国纽约监管机构对GEICO保险公司和Travelers Indemnity Company公司两家汽车保险公司处以 1130万美元(约合人民币8200万元)罚款,因其未能防止数据泄露,导致12万居民个人敏感信息被泄露。

2020年11月,GEICO 遭遇数据泄露,其汽车保险报价工具受影响,攻击者得以从面向公众的网站窃取敏感个人信息。2021年4月,Traveler 也遭遇数据泄露,并收到大量警报,显示攻击者通过利用其保险报价工具访问客户的驾照号码并生成报告。攻击者使用被盗凭证入侵该公司未采用多因素身份验证保护的保险代理门户。

这两家公司因未能预防和妥善应对网络攻击,致使黑客窃取了这些居民包括驾照号码在内的敏感信息,并进行欺诈性就业索赔。GEICO 将支付975万美元,Traveler则支付剩余的155万美元。除了罚款,纽约当局要求相关汽车保险公司实施强有力的网络安全措施,以防止未来发生类似的数据泄露。

原文链接:

https://www.cpomagazine.com/cyber-security/new-york-fines-auto-insurance-companies-geico-and-traveler-nearly-12-million-over-data-breaches/

网络钓鱼团伙Rockstar 2FA 倒下,FlowerStorm崛起?

近期,Sophos MDR 发现 Rockstar2FA“钓鱼即服务”(PaaS)平台的检测数据突然沉寂,而一组被标记为“FlowerStorm”的类似 PaaS 门户的使用量激增。但相似的域名注册模式可能表明FlowerStorm和Rockstar协同工作。

据 Sophos MDR收集的数据,运营Rockstar2FA平台的组织的基础设施至少部分崩溃,与该服务相关的页面无法访问。这似乎并非由于执法取缔行动,而是服务后端的技术故障所致。Rockstar2FA消失在 TrustWave 发布有关该钓鱼即服务行动的研究两周之前。该钓鱼服务基础设施的部分元素如今已无法访问,返回 HTTP 522 响应,表明它们与 Cloudflare 内容分发网络的连接已中断。与该服务指挥控制相关的 Telegram 频道似乎也已离线。

在 Rockstar2FA 中断后的数周内,FlowerStorm PaaS平台使用量激增,最晚自 2024 年 6 月起就已活跃。FlowerStorm与Rockstar以及另一个由Telegram机器人驱动的PaaS平台Tycoon有诸多相似之处。FlowerStorm门户在向目标发送身份验证请求时使用的URL与向“后端门户”发送通信请求时使用的URL相同。并非所有钓鱼页面都使用相同的后端服务器结构。

原文链接:

网络攻击

移动网络钓鱼新趋势:模仿合法服务针对企业高管发起攻击

Zimperium 的网络钓鱼和数据分析团队发现了近期一场针对高管的鱼叉式网络钓鱼活动。这些活动借助移动设备,采用社会工程策略来窃取有价值的凭据并获取对敏感信息的访问权限,模仿诸如 DocuSign 和谷歌等合法服务,利用紧迫性和可信度来欺骗受害者。

攻击活动使用验证码、特定于移动设备的虚假登录页面以及被入侵的域名,以此绕过检测机制。攻击者还利用 Cloudflare 等平台进行SSL加密和DDoS防护,使得检测工作更为复杂。攻击始于一个看似无害、伪装成 DocuSign 文档的链接,其使用合法域名(clickmethryvcom)来掩盖来源。一旦点击就会启动一系列重定向。首先,它重定向到一个受感染的大学网站,利用其可信度绕过检测。

研究人员指出,攻击者使用验证码来防止自动检测,并实施了特定于移动设备的定向攻击。此外,如果通过移动设备访问链接,攻击会呈现一个虚假的谷歌登录页面以窃取凭据,而桌面端则会被重定向到合法的谷歌网站。研究还发现,钓鱼网站(diitalwaveru)及其 SSL 证书在攻击前几天才创建,凸显了攻击者注重快速部署。

原文链接:

BadBox 恶意软件加速蔓延,或已感染 19.2 万安卓设备

BitSight 的安全研究人员日前警告称,BadBox 安卓恶意软件僵尸网络正在加速蔓延,或已在全球感染超过 19.2万设备,并将攻击目标扩展到更知名且受信任的移动品牌。

BadBox 是一种被认为基于“Triada”恶意软件家族的安卓恶意软件,它通过对固件的供应链攻击、不良员工操作或在产品进入分销阶段时进行注入,来感染小众制造商生产的设备。2023 年初在T95 安卓电视盒子上首次发现该恶意软件。此后,恶意软件活动已扩展到其他在线销售的不知名产品。

BadBox 活动的目的是获取经济利益,通过将设备转变为住宅代理或利用其执行广告欺诈来实现。这些住宅代理随后可能将其租网络犯罪分子,他们将设备用作代理来进行攻击或其他欺诈活动。此外,BadBox 恶意软件还可用于在安卓设备上安装其他恶意有效载荷,从而开展更危险的操作。

德国联邦信息安全办公室(BSI)近日宣布,他们破坏了BadBox恶意软件在该国的活动,切断了 3 万安卓设备的通信。这些设备主要是基于安卓的数字相框和媒体流盒子,但 BSI 警告称,BadBox 很可能存在于更多产品类别中。

原文链接:

https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/

Juniper预警:Mirai 僵尸网络正利用默认密码攻击 SSR 设备

Juniper Networks 日前发出警告,称在 2024 年 12 月初监测到异常活动报告后,发现一个 Mirai 僵尸网络正利用默认密码大肆攻击 Session Smart Router(SSR)设备。

多个客户报告了其SSN平台上存在异常活动。威胁行为者最初入侵了这些设备,然后将它们用于 DDoS 攻击。Juniper Networks 发布的报告指出,这些系统已被 Mirai 恶意软件感染,随后被用作对其网络可访问的其他设备进行 DDoS 攻击的源头。受影响的系统均使用默认密码。

Mirai活动的迹象包括异常的端口扫描、频繁的SSH登录失败、出站流量激增、设备行为异常以及来自恶意 IP的连接。为降低遭受这些威胁的风险,建议用户更改默认凭证、使用强密码、审查访问日志、部署防火墙和 IDS/IPS 并保持固件更新。

原文链接:

https://securityaffairs.com/172157/malware/juniper-networks-mirai-botnet.html

漏洞预警

Fortinet官方披露无线管理器漏洞,路径遍历或致设备易主

网络安全公司 Fortinet日前官方披露了其无线管理器(FortiWLM)中的一个关键安全漏洞(CVE-2023-34990)。该漏洞允许远程攻击者通过特制的网络请求执行未经授权的代码或命令,从而接管设备。

FortiWLM 是用于监控、管理和优化无线网络的集中管理工具,被政府机构、医疗机构、教育机构和大型企业广泛使用。CVE-2023-34990是一个相对路径遍历漏洞。攻击者可利用该漏洞窃取管理员会话ID。通过在“op_type”设置为“upgradelogs”时在“imagename”参数中使用目录遍历技术,攻击者能够读取系统中的敏感日志文件。这些日志通常包含管理员会话ID,可用于劫持管理员会话并获取特权访问,从而接管设备。

该漏洞影响 FortiWLM 8.6.0至8.6.5以及8.5.0 至8.5.4版本。由于FortiWLM 在关键环境中的部署,远程入侵可能导致网络范围的中断和敏感数据泄露。强烈建议 FortiWLM 管理员在有可用更新时及时应用。

原文链接:

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-fortiwlm-bug-giving-hackers-admin-privileges/

产业动态

Citrix 收购两家初创安全公司,加速推进零信任安全战略

Citrix Systems 日前宣布已完成收购 deviceTRUST 和 strong.network 两家公司,以实现其为混合工作环境强化零信任安全解决方案的目标。这两项收购旨在增强 Citrix 在混合及云环境中保护关键任务应用程序的能力,同时提升开发人员的工作效率与安全性。

deviceTRUST 提供专注于虚拟桌面基础设施和桌面即服务的实时情境访问解决方案,使企业能够通过持续监控设备状态、用户位置及其他访问情境来保障数字工作空间安全。这有助于 IT 团队依据不断变化的安全状况授予或撤销权限,从而增强数据保护并降低远程工作相关风险。

而strong.network 专注于安全的云开发环境。其自托管平台运用软件容器来集中和保护编码工作空间,同时为分布式软件开发团队提供支持,可防止敏感数据泄露并确保知识产权保护。该软件还符合诸如 ISO 27001 和美国国家标准与技术研究院指南等行业安全标准。

原文链接:

https://www.scworld.com/brief/citrix-acquisitions-poised-to-enhance-zero-trust-security


文章来源: https://www.aqniu.com/homenews/107633.html
如有侵权请联系:admin#unsafe.sh