1. Ivanti警告称另有三个CSA零日漏洞正在被攻击者利用
10月8日,美国IT软件公司Ivanti近期发布了安全更新,旨在修复三个被积极利用的新型云服务设备(CSA)零日漏洞,这些漏洞编号为CVE-2024-9379、CVE-2024-9380和CVE-2024-9381。攻击者将这些漏洞与9月份已修补的另一个CSA零日漏洞(CVE-2024-8963)结合使用,通过SQL注入、命令注入和路径遍历等手段,远程执行任意代码并绕过安全限制。Ivanti警告称,运行CSA 4.6 patch 518及更早版本的客户在结合这些漏洞时可能已遭到攻击,并建议受影响客户升级到CSA 5.0.2版本以重建设备。同时,管理员应利用EDR或其他安全软件警报,以及检查新的或修改后的管理员用户来检测入侵迹象。由于CSA 4.6已停产,仍在运行此版本的客户应尽快升级。此外,CISA已将相关漏洞添加到已知被利用漏洞目录中,并要求联邦机构在10月10日前保护易受攻击的系统。https://www.bleepingcomputer.com/news/security/ivanti-warns-of-three-more-csa-zero-days-exploited-in-attacks/
2. 卡西欧遭网络攻击,服务中断并引发数据泄露担忧
10月8日,日本科技巨头卡西欧计算机公司近期遭遇了一起网络安全事件,其网络被未经授权的行为者访问,导致系统中断,并影响了部分服务。卡西欧以手表、计算器、乐器、相机等电子产品闻名,此次攻击对其造成了不小的影响。卡西欧在公告中确认了此次网络攻击,并表示正在与外部专家合作,以确定是否有个人数据或其他机密信息被盗。目前,该公司未透露更多细节,也未说明服务中断的具体内容。卡西欧已向适用的数据保护机构报告了此事件,并采取了限制外部人员访问的措施。尽管尚未有勒索软件组织声称对此次攻击负责,但此次事件对卡西欧来说无疑是一次打击。大约一年前,卡西欧还曾披露过另一起数据泄露事件,涉及149个国家的客户数据。此次最新的网络安全事件发生在卡西欧即将因大规模人事重组而遭受近5000万美元非经常性损失的艰难时刻,无疑给该公司带来了更大的挑战。https://www.bleepingcomputer.com/news/security/casio-reports-it-systems-failure-after-weekend-network-breach/
3. Awaken Likho APT组织采用新战术攻击俄罗斯机构
10月8日,卡巴斯基研究人员揭示了Awaken Likho APT组织(又名Core Werewolf)自2021年7月以来针对俄罗斯政府机构和工业企业发起的最新攻击。该组织在2024年6月的新攻击中,显著改变了其软件和技术,从利用UltraVNC模块转向使用合法的MeshCentral平台代理MeshAgent。MeshCentral作为一种开源远程设备管理解决方案,被攻击者非法利用以控制受感染系统,这一转变增加了攻击的隐蔽性和难度。卡巴斯基团队发现,Awaken Likho通过网络钓鱼电子邮件传播新植入程序,这些邮件利用7-Zip创建的SFX格式分发,内含伪装成合法系统服务和命令文件的诱饵。植入程序运行后,会启动MeshAgent和一个高度混淆的命令文件,旨在实现持久性控制。通过创建计划任务,攻击者确保MeshAgent能重新连接到命令和控制服务器,该连接通过WebSocket协议建立,并利用HTTPS加密。Awaken Likho的此次攻击活动与以往一致,目标仍是俄罗斯政府机构、承包商和工业企业。https://securityonline.info/new-campaign-by-awaken-likho-apt-group-changes-in-software-and-techniques/
4. 互联网档案馆遭数据泄露,3100万用户信息被盗
10月9日,互联网档案馆的“Wayback Machine”近期遭遇了严重的数据泄露事件。一名威胁行为者成功入侵该网站,窃取了包含3100万条唯一记录的用户身份验证数据库,并通过JavaScript警报向archive.org的访问者宣告了这一入侵。该警报还提及了Troy Hunt创建的Have I Been Pwned(HIBP)数据泄露通知服务,威胁行为者已与该服务共享了被盗数据。被盗的数据库名为“ia_users.sql”,是一个6.4GB的SQL文件,包含注册成员的身份验证信息,如电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt哈希密码等。据HIBP的创始人亨特透露,数据库中有3100万个唯一电子邮件地址,其中许多已订阅HIBP的数据泄露通知服务。这些数据将很快被添加到HIBP中,以便用户可以查询他们的数据是否在此次泄露中被泄露。目前尚不清楚威胁行为者是如何侵入互联网档案馆的,以及是否有其他数据被盗。而就在今天早些时候,互联网档案馆还遭受了DDoS攻击,BlackMeta黑客组织已声称对此负责,并表示将进行更多攻击。https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
5. 欧亚多国超2.8万人遭加密货币窃取恶意软件攻击
10月9日,近期一起大规模加密货币窃取恶意软件活动影响了俄罗斯、土耳其、乌克兰及欧亚地区其他国家的超过28,000人。该活动通过伪装成合法软件,在YouTube视频和欺诈性GitHub存储库上进行推广,诱导受害者下载受密码保护的档案并启动感染。据网络安全公司Dr. Web称,绝大多数受害者是俄罗斯居民,同时白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也出现大量感染。恶意软件利用多种手段欺骗用户下载,一旦感染,会检查调试工具、提取所需文件、修改Windows注册表以实现持久性,并劫持合法的Windows系统服务和浏览器更新进程。此外,恶意软件还会收集系统信息并通过Telegram机器人窃取,投放SilentCryptoMiner挖掘加密货币,以及充当剪辑器监视并替换Windows剪贴板中的钱包地址。Dr. Web发现,仅Clipper就劫持了价值6,000美元的交易。为避免财务损失,建议从官方网站下载软件,并谨慎对待YouTube或GitHub上的链接。https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/
6. 美司法部与微软联手查获百余俄罗斯黑客网络钓鱼网站
10月4日,美国司法部和微软联合行动,成功查获了100多个由俄罗斯黑客用于针对美国进行网络钓鱼活动的网站。此次行动旨在阻止国家支持的网络攻击,保护美国的敏感数据。被查封的域名由名为Callisto Group的组织使用,该组织是俄罗斯联邦安全局下属的行动单位,被指控策划鱼叉式网络钓鱼活动,旨在欺骗收件人泄露登录凭据,未经授权访问政府实体和其他高价值目标的机密信息。微软在行动中发挥了关键作用,提起了民事诉讼,要求查封与Callisto Group有关联的66个域名。此次行动不仅破坏了现有运营和基础设施,还向外国对手和美国国内民众发出了明确的信息,表明俄罗斯是一个真正的网络行动对手。此外,此次行动也展示了政府和私营部门之间持续合作的重要性,可以共同更快地遏制网络犯罪。https://hackread.com/doj-microsoft-seize-russian-phishing-sites-target-us/
