以下是本周回顾:
特洛伊木马RAT构建器用于攻击脚本小子
XWorm RAT构建器的木马版本已被提供给脚本小子,并被用来从受感染的系统中窃取有价值的信息。据CloudSEK称,该恶意软件已通过GitHub存储库和文件共享服务进行传播,并已感染全球超过18,000台设备。研究人员发现了一个终止开关,使他们能够破坏恶意软件的运行。
开源网络安全立法准备倡议
Linux基金会欧洲分部和OpenSSF宣布了一项联合计划,旨在帮助开源制造商、维护人员和管理者为实施网络安全立法(如欧盟网络弹性法案 (CRA))做好准备。该计划将侧重于正式化网络安全规范、提供合规指导以及实施合规流程和工具。
BeyondTrust 调查泄露的 API 密钥
BeyondTrust宣布已完成对其远程支持SaaS的API密钥在2024年12月遭泄露事件的调查。该事件导致在特权远程访问 (PRA) 和远程支持 (RS) 企业解决方案中发现两个零日漏洞,并影响了包括美国财政部在内的17 位客户。
德克萨斯州县披露网络攻击
德克萨斯州马塔戈达县披露了一次网络攻击,导致恶意软件被部署到其网络上,在受影响的系统被隔离后,导致某些操作中断。多个部门都受到了影响,但该县没有迹象表明个人信息可能遭到泄露。
黑客夸大其词,声称入侵了 AWS
一些黑客组织经常夸大其词。其中一个组织名为GDLockerSec,最近声称入侵了 AWS 云服务。威胁情报公司 Kella 的调查显示,AWS 系统并未遭到入侵。这些数据可能是从第三方未受保护的 AWS S3 实例中获取的,但 Kela 发现这些数据已在其他平台上公开。
朝鲜的“幻影巡回行动”
2024 年 11 月至 2025 年 1 月期间,朝鲜政府支持的黑客组织 Lazarus 入侵了 1,500 多个系统,这是代号为“幻影电路行动”的行动的一部分。该行动针对欧洲、印度和其他国家的开发人员,重点是窃取凭证、代币和系统信息,监视受害者,以及破坏加密货币和身份验证系统的供应链。
影响重大的 API 漏洞
据 Salt Security 报道,航空公司使用的一家未具名的顶级旅行服务受到API 漏洞的影响,该漏洞可能已暴露数百万用户的账户。该安全漏洞可能允许黑客访问账户并以受害者的名义执行各种操作,包括预订酒店和租车,以及取消或修改预订。
米高梅因数据泄露支付 4500 万美元和解金
酒店和娱乐巨头米高梅同意支付 4500 万美元,以和解与 2019 年和2023 年发生的单独数据泄露相关的诉讼。和解范围涵盖受网络安全事件影响的美国所有人。
Arcus Media 勒索软件
Halcyon 对Arcus Media 勒索软件组织进行了分析,该组织于 2024 年 5 月出现,并在半年内宣布有 50 多名受害者。Halcyon 对 Arcus Media 的分析重点关注该组织的技术,包括恶意软件执行、特权提升和持久性;进程终止;以及其独特的加密方法。
BIND补丁
互联网系统联盟已宣布针对 BIND 9 DNS 软件中的两个漏洞发布补丁。这两个漏洞被标记为 CVE-2024-12705 和 CVE-2024-11187,它们可能被利用导致 CPU 资源过度消耗,从而引发拒绝服务 (DoS) 情况。
谷歌阻止 236 万个不良应用进入 Google Play
谷歌表示, 2024年,它阻止了236万个不良Android应用程序发布到 Google Play,当时它封禁了超过15.8万个不良开发者账户。谷歌高度依赖人工智能来识别恶意和违反政策的应用程序,每天扫描超过 2000 亿个软件,阻止了130万个应用程序获取敏感用户数据的访问权限,并捕获了1300万个来自Google Play之外的恶意应用程序。
浏览器同步劫持——使用浏览器扩展程序接管设备
SquareX Labs警告称, Syncjacking是一种新的攻击手段,威胁者会为某个域注册一个包含多个用户配置文件的Google Workspace 帐户,然后创建一个无害的浏览器扩展程序并诱骗用户安装它。一段时间后,该扩展程序会连接到该域并将受害者登录到其中一个创建的用户配置文件中,从而使攻击者能够控制浏览器。如果受害者被诱骗完成与配置文件的同步,攻击者就可以访问他们的浏览器数据。同样,恶意扩展程序也可用于诱骗受害者在其设备上执行恶意软件。
— 欢迎关注 往期回顾 —
祺印说信安2024年一年回顾
2025收集更新信通院白皮书系列合集(665个)下载
《网络数据安全管理条例》解读
网安企业“内鬼”监守自盗,窃取个人信息2.08亿条
郑州3家公司未履行网络安全保护义务被网信部门约谈
25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚
驻马店市委网信办就网络安全问题依法约谈相关责任单位
两家银行因数据安全相关问题,被罚款