RedTail挖矿使用 Palo Alto Networks 防火墙的误差

首页 > 清静研究 > 清静转达 > 清静简讯

RedTail挖矿使用 Palo Alto Networks 防火墙的误差

宣布时间 2024-06-03

1. RedTail挖矿使用 Palo Alto Networks 防火墙的误差

5月31日，RedTail加密钱币挖掘恶意软件背后的威胁行为者将最近披露的影响 Palo Alto Networks 防火墙的清静误差添加到其误差使用库中。凭证网络基础设施和清静公司 Akamai 的研究效果，该恶意软件不但在其工具包中增添了 PAN-OS 误差，还对其举行了更新，现在已接纳了新的反剖析手艺。Akamai 发明的熏染序列使用了 PAN-OS 中现已修补的误差CVE-2024-3400（CVSS 评分：10.0），该误差可能允许未经身份验证的攻击者在防火墙上以 root 权限执行恣意代码。乐成使用之后，将执行旨在从外部域检索和运行 bash shell 剧本的下令，该剧本反过来认真凭证 CPU 架构下载 RedTail 有用负载。RedTail 的其他撒播机制涉及使用 TP-Link 路由器（CVE-2023-1389）、ThinkPHP（CVE-2018-20062）、Ivanti Connect Secure（CVE-2023-46805 和 CVE-2024-21887）以及 VMWare Workspace ONE Access 和 Identity Manager（CVE-2022-22954）中已知的清静误差。RedTail于 2024 年 1 月首次由清静研究员 Patryk Machowiak 纪录，涉及使用 Log4Shell 误差 (CVE-2021-44228) 在基于 Unix 的系统上安排恶意软件的运动。

https://thehackernews.com/2024/05/redtail-crypto-mining-malware.html

2. Cooler Master 确认数据泄露事务中客户信息被盗

5月31日，盘算机硬件制造商 Cooler Master 确认其于 5 月 19 日遭遇数据泄露，威胁行为者窃取了客户数据。Cooler Master 是一家着名的盘算机硬件制造商，以其冷却装备、盘算机机箱、电源和其他外围装备而著名。BleepingComputer昨天报道称，一个名为“Ghostr”的威胁行为者告诉我们，他们于 5 月 18 日入侵了该公司的 Fanzone 网站并下载了其链接的数据库。Cooler Master 的 Fanzone 网站用于注册产品保修、申请 RMA 或开立支持票，要求客户填写小我私家数据，例如姓名、电子邮件地点、地点、电话号码、出生日期和现实地点。Ghostr 体现，在 Fanzone 误差爆发时代，他们下载了 103 GB 的数据，其中包括凌驾 500,000 名客户的客户信息。威胁行为者还共享了数据样本，使 BleepingComputer 能够与违规行为中列出的众多客户确认他们的数据是准确的，并且他们最近向 Cooler Master 请求了支持或 RMA。样本中的其他数据包括产品信息、员工信息以及与供应商的电子邮件信息。威胁者声称拥有部分信用卡信息，但 BleepingComputer 在数据样本中找不到这些数据。

https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/

3. BBC 披露了影响其养老金妄想成员的数据泄露事务

6月1日，BBC 的信息清静团队已向我们转达了一起数据清静事务，其中部分包括 BBC 养老金妄想成员小我私家信息的文件被从云存储服务中复制。这些文件包括一些养老金妄想成员的小我私家信息，包括姓名、国民包管号、出生日期和家庭住址等详细信息。”通告写道。“所涉及的数据文件是副本，因此对妄想的正常运作没有影响。该事务未影响养老金妄想门户网站的运行，用户可以继续使用。该事务泄露了约 25,000 名 BBC 养老金妄想成员的小我私家信息，其中包括现任和前任员工。泄露的数据包括全名、国民包管号、出生日期、性别和家庭住址。这家英国公共服务广播公司在外部专家的资助下视察了这一事务，并已接纳了特另外清静步伐。专家们已经确定了清静误差的缘故原由并接纳了清静步伐。该公司正在通过电子邮件或邮寄方法联系所有受影响的会员。现在，该公司没有证据批注受损文件已被滥用。

https://securityaffairs.com/163908/data-breach/bbc-disclosed-data-breach.html

4. FlyingYeti使用WinRAR误差举行有针对性的攻击运动

6月2日，自 2022 年 2 月 24 日俄罗斯入侵乌克兰以来，各国之间以及全天下之间的主要时势一直很严重。此次事务后，乌克兰对未偿债务的住户实验了驱逐和终止公用事业服务的禁令，该禁令将于2024年1月竣事。然而，这一特准时期却被一名名为FlyingYeti的威胁行为者所使用。该威胁行为者使用乌克兰公民对未送还债务和可能失去住房的焦虑，开展了以债务为主题的网络垂纶运动，诱骗受害者将恶意软件文件下载到他们的系统中。该恶意软件是一种称为“COOKBOX”的 PowerShell 恶意软件，它使这些威胁行为者能够装置特另外有用载荷并控制受害者的系统。别的，网络垂纶运动还使用了 GitHub 服务器和 Cloudflare 事情器以及 WinRAR 误差（CVE-2023-38831）。lyingYeti 威胁行为者的运动与之前确定的威胁行为者 UAC-0149 有重叠，后者曾在 2023 年秋季使用相同的恶意软件攻击乌克兰国防实体。2024 年 4 月中旬至 5 月中旬时代，据视察，FlyingYeti 威胁行为者正在对受害者举行侦探运动，这些运动很可能用于原定于复生节时代提倡的运动。

https://gbhackers.com/flyingyeti-winrar-vulnerability-malware-attacks/

5. LilacSquid 黑客攻击 IT 行业以获取神秘数据

6月1日，黑客瞄准 IT 行业，由于这些行业掌握着名贵的数据、要害的基础设施，并且通�？梢曰峒鞲隽煊虻拿舾行畔�。入侵 IT 公司可以为黑客提供举行特工运动、获取经济利益以及破损基本服务的重大时机。克日，思科Talos网络清静研究职员发明，LilacSquid黑客一直在起劲攻击IT行业，以获取神秘数据。Talos 确信“LilacSquid” APT 组织至少从 2021 年最先就一直在举行数据窃取运动，乐成入侵了亚洲、欧洲和美国的制药、石油、自然气和手艺行业的目的初始会见使用了误差和被盗的 RDP 凭证。入侵后，LilacSquid 安排了 MeshAgent 远程会见工具、QuasarRAT 的定制“PurpleInk”变体以及 SSF 等开源署理工具，与 Lazarus 和 Andariel 等朝鲜组织的 TTP 重叠。该运动建设了数据泄露的恒久会见权限，先前的供应链误差凸显了这种一连、高级威胁的危害。入侵后，他们使用 MeshAgent 等程序举行远程会见、使用 SSF 举行清静隧道以及使用定制恶意软件 InkLoader、PurpleInk RAT 等。

https://gbhackers.com/lilacsquid-hackers-attacking-it-industries/

6. 数百名英国、法国和欧盟政客的信息在网上宣布

5月31日，据专注于隐私的解决计划提供商 Proton 称，数百名英国、法国和欧洲议会政客的电子邮件地点和其他信息可以在暗网市场上找到。作为 Proton 与 Constella Intelligence 相助开展的一项研究的一部分，研究职员在暗网上搜索了近 2,300 个属于英国、法国和欧洲议聚会员的官方政府电子邮件地点。总共有 918 个电子邮件地点被泄露到网络犯法市场，但每个组织受影响的政客比例有所差别。例如，英国议员受到的影响最大，68% 的目的电子邮件地点泛起在暗网上。就欧盟议聚会员而言，44% 的电子邮件地点被宣布在黑客论坛上。只有 18% 的法国议员和参议员的数据被泄露。就英国政客的案例而言，其中包括政府高层和阻挡派人物，他们的电子邮件地点在暗网上被发明凌驾 2,100 次。在许多情形下，电子邮件地点在政府网站上是果真的。问题在于，电子邮件地点泛起在暗网市场上批注这些地点曾被用来在种种第三方在线服务上建设账户，而这些服务在某个时间遭到了黑客攻击。

https://www.securityweek.com/information-of-hundreds-of-european-politicians-found-on-dark-web/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究