Mirai僵尸网络使用NVR、TP-Link 路由器中的误差

首页 > 清静研究 > 清静转达 > 清静简讯

Mirai僵尸网络使用NVR、TP-Link 路由器中的误差

宣布时间 2024-12-25

1. Mirai僵尸网络使用NVR、TP-Link 路由器中的误差

12月24日，一种新的基于Mirai的僵尸网络正在使用尚未收到跟踪器编号且未在DigiEver DS-2105 Pro NVR中修补的远程代码执行误差。该运动始于10月，主要针对网络录像机和固件过时的TP-Link路由器。TXOne研究员Ta-Lun Yen去年在DefCamp清静聚会上展示了其中一个误差，影响了多台DVR装备。Akamai的研究职员视察到，只管该僵尸网络在11月中旬最先使用此误差，但证据批注其运动至少从9月已最先。除了DigiEver误差，新的Mirai变种还针对TP-Link的CVE-2023-1389误差和Teltonika RUT9XX路由器的CVE-2018-17532误差。针对DigiEver NVR的攻击通过远程代码执行缺陷实现，黑客使用未准确验证用户输入的URI注入下令，从而获取恶意软件二进制文件并将装备纳入僵尸网络。一旦装备被攻击，就会用于漫衍式拒绝服务攻击或撒播到其他装备。新的Mirai变种接纳XOR和ChaCha20加密，支持多种系统架构。Akamai指出，只管重大解密要领不新鲜，但显示Mirai僵尸网络运营商在战略和手艺上一直前进。

https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/

2. Clop勒索软件团伙使用Cleo零日误差提倡新勒索攻势

12月24日，Clop勒索软件团伙近期对其Cleo数据偷窃攻击的受害者发出了勒索通知，要求66家公司在48小时内响应其要求，不然将披露这些公司的全名。Clop通过暗网门户直接联系这些公司，并提供清静谈天频道链接和电子邮件地点举行赎金支付谈判。此次攻击使用了Cleo LexiCom、VLTransfer和Harmony产品中的零日误差（CVE-2024-50623），允许远程攻击者执行不受限制的文件上传和下载，导致远程代码执行。Clop已往也曾使用其他平台的零日误差会见公司网络。供应商已提供修复程序，但忠言称黑客可能使用该修复程序在受熏染的网络上翻开反向shell。Clop还宣布将删除以前攻击的数据，以专注于新一轮的勒索运动。现在尚不清晰详细有几多公司受到了Clop最新攻击的威胁，但Cleo软件已被全球凌驾4000家组织使用。

https://www.bleepingcomputer.com/news/security/clop-ransomware-is-now-extorting-66-cleo-data-theft-victims/

3. Postman Workspaces泄露30000个API密钥和敏感令牌

12月24日，CloudSEK的TRIAD团队发明，因滥用Postman Workspaces，大宗敏感数据面临泄露危害。在为期一年的视察中，研究职员发明凌驾30,000个可果真会见的Postman Workspaces泄露了API密钥、令牌和治理员凭证等敏感信息，涉及GitHub、Slack和Salesforce等平台，影响了包括医疗保健、运动打扮和金融服务在内的多个行业。泄露的缘故原由主要包括会见设置过失、纯文本存储以及收藏品的果真共享。CloudSEK指出，这些泄露可能导致数据泄露、未经授权的系统会见以及网络垂纶和社会工程攻击的增添。为确保数据清静，组织应使用情形变量、轮换令牌、接纳神秘治理工具等步伐。CloudSEK已向受影响的组织报告了大大都事务，并鞭策组织接纳更可靠的清静步伐。别的，Postman也实验了神秘�；ふ�，以避免敏感数据在公共事情区中袒露。

https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/

4. 欧洲航天局官方市肆遭黑客攻击，窃取客户支付信息

12月24日，欧洲航天局的官方网上市肆近期遭到黑客攻击，黑客通过加载一段JavaScript代码，在结账时天生一个虚伪的Stripe支付页面，从而网络客户信息，包括支付卡数据。欧洲航天局（ESA）的预算凌驾100亿欧元，其使命是通过培训宇航员以及制作用于探索宇宙神秘的火箭和卫星来扩展太空运动的极限。该市肆现在无法使用，并显示“暂时脱离轨道”的新闻。电子商务清静公司Sansec注重到了这一恶意剧本，并忠言称该市肆似乎与欧洲航天局（ESA）系统集成，可能对员工组成危害。同时，网络应用清静公司Source Defense Research也证实了Sansec的视察效果。在被BleepingComputer询问有关此次入侵的详细信息时，ESA体现该市肆并不托管在其基础设施上，也不治理其上的数据。通过whois盘问可以确认，该市肆的域名和联系数据与ESA的官方域名差别，且联系数据已被删除以�；ひ�。

https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/

5. PyPI现恶意Python软件包窃取用户数据

12月24日，Fortinet FortiGuard Lab的AI检测系统近期发明了两个在Python软件包索引(PyPI)上的恶意Python软件包：Zebo-0.1.0和Cometlogger-0.1。这些恶意软件通过键盘纪录、截图和信息泄露等手段窃取用户敏感数据，并使用混淆手艺逃避检测。Zebo-0.1.0使用pynput和ImageGrab等库纪录按键和截取屏幕截图，将敏感信息泄露到远程服务器，并在系统重启时重新执行以确坚长期控制。Cometlogger-0.1则专注于信息窃取和长期保存，针对多个社交平台窃取令牌、密码和帐户信息，并接纳反虚拟机检测手艺和动态文件修改功效。这些恶意软件包对所有可以装置PyPI软件包的平台组成重大隐私和清静危害，提防这些威胁需要断开互联网毗连、隔离受熏染系统、使用防病毒软件以及在须要时重新名堂化系统。PyPI的便当性陪同着危害，开发职员需要坚持小心，阻止装置恶意软件包。

https://hackread.com/python-malware-zebo-cometlogger-stealing-user-data/

6. 朝鲜黑客攻击DMM Bitcoin，窃取3.08亿美元加密钱币

12月24日，朝鲜黑客组织“TraderTraitor”（也被追踪为Jade Sleet、UNC4899和Slow Pisces）在今年5月对日本DMM Bitcoin生意所提倡攻击，乐成窃取了价值3.08亿美元的加密钱币。此次攻击始于3月下旬，黑客伪装成LinkedIn上的正当招聘职员，接触并诱导日本企业加密钱币钱包软件公司Ginco的一名员工下载并执行恶意Python代码，进而渗透到Ginco并横向移动到DMM。FBI指出，攻击者使用会话cookie信息冒充受熏染员工，获取Ginco未加密通讯系统的会见权限，并最终在5月下旬使用DMM员工的正当生意请求，导致巨额损失。自2022年以来，TraderTraitor一直活跃于区块链领域，使用虚伪应用程序举行社会工程攻击，美国政府一直在亲近监视其运动。

https://www.bleepingcomputer.com/news/security/fbi-links-north-korean-hackers-to-308-million-crypto-heist/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究