RedTail挖矿利用 Palo Alto Networks 防火墙的漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

RedTail挖矿利用 Palo Alto Networks 防火墙的漏洞

宣布时间 2024-06-03

1. RedTail挖矿利用 Palo Alto Networks 防火墙的漏洞

5月31日，RedTail加密货币挖掘恶意软件背后的威胁行为者将最近披露的影响 Palo Alto Networks 防火墙的宁静漏洞添加到其漏洞利用库中。凭据网络基础设施和宁静公司 Akamai 的研究结果，该恶意软件不仅在其工具包中增加了 PAN-OS 漏洞，还对其进行了更新，目前已接纳了新的反分析技术。Akamai 发现的熏染序列利用了 PAN-OS 中现已修补的漏洞CVE-2024-3400（CVSS 评分：10.0），该漏洞可能允许未经身份验证的攻击者在防火墙上以 root 权限执行任意代码。乐成利用之后，将执行旨在从外部域检索和运行 bash shell 脚本的命令，该脚本反过来卖力凭据 CPU 架构下载 RedTail 有效负载。RedTail 的其他流传机制涉及利用 TP-Link 路由器（CVE-2023-1389）、ThinkPHP（CVE-2018-20062）、Ivanti Connect Secure（CVE-2023-46805 和 CVE-2024-21887）以及 VMWare Workspace ONE Access 和 Identity Manager（CVE-2022-22954）中已知的宁静漏洞。RedTail于 2024 年 1 月首次由宁静研究员 Patryk Machowiak 记录，涉及利用 Log4Shell 漏洞 (CVE-2021-44228) 在基于 Unix 的系统上部署恶意软件的活动。

https://thehackernews.com/2024/05/redtail-crypto-mining-malware.html

2. Cooler Master 确认数据泄露事件中客户信息被盗

5月31日，计算机硬件制造商 Cooler Master 确认其于 5 月 19 日遭遇数据泄露，威胁行为者窃取了客户数据。Cooler Master 是一家知名的计算机硬件制造商，以其冷却设备、计算机机箱、电源和其他外围设备而闻名。BleepingComputer昨天报道称，一个名为“Ghostr”的威胁行为者告诉我们，他们于 5 月 18 日入侵了该公司的 Fanzone 网站并下载了其链接的数据库。Cooler Master 的 Fanzone 网站用于注册产物保修、申请 RMA 或开立支持票，要求客户填写个人数据，例如姓名、电子邮件地址、地址、电话号码、出生日期和实际地址。Ghostr 体现，在 Fanzone 漏洞发生期间，他们下载了 103 GB 的数据，其中包罗凌驾 500,000 名客户的客户信息。威胁行为者还共享了数据样本，使 BleepingComputer 能够与违规行为中列出的众多客户确认他们的数据是准确的，而且他们最近向 Cooler Master 请求了支持或 RMA。样本中的其他数据包罗产物信息、员工信息以及与供应商的电子邮件信息。威胁者声称拥有部门信用卡信息，但 BleepingComputer 在数据样本中找不到这些数据。

https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/

3. BBC 披露了影响其养老金计划成员的数据泄露事件

6月1日，BBC 的信息宁静团队已向我们通报了一起数据宁静事件，其中部门包罗 BBC 养老金计划成员个人信息的文件被从云存储服务中复制。这些文件包罗一些养老金计划成员的个人信息，包罗姓名、国民保险号、出生日期和家庭住址等详细信息。”通告写道。“所涉及的数据文件是副本，因此对计划的正常运作没有影响。该事件未影响养老金计划门户网站的运行，用户可以继续使用。该事件泄露了约 25,000 名 BBC 养老金计划成员的个人信息，其中包罗现任和前任员工。泄露的数据包罗全名、国民保险号、出生日期、性别和家庭住址。这家英国公共服务广播公司在外部专家的资助下视察了这一事件，并已接纳了特别的宁静措施。专家们已经确定了宁静漏洞的原因并接纳了宁静措施。该公司正在通过电子邮件或邮寄方式联系所有受影响的会员。目前，该公司没有证据表明受损文件已被滥用。

https://securityaffairs.com/163908/data-breach/bbc-disclosed-data-breach.html

4. FlyingYeti利用WinRAR漏洞进行有针对性的攻击活动

6月2日，自 2022 年 2 月 24 日俄罗斯入侵乌克兰以来，各国之间以及全世界之间的紧张局势一直很严重。此次事件后，乌克兰对未偿债务的住户实施了驱逐和终止公用事业服务的禁令，该禁令将于2024年1月结束。然而，这一特定时期却被一名名为FlyingYeti的威胁行为者所利用。该威胁行为者利用乌克兰公民对未归还债务和可能失去住房的焦虑，开展了以债务为主题的网络钓鱼活动，诱骗受害者将恶意软件文件下载到他们的系统中。该恶意软件是一种称为“COOKBOX”的 PowerShell 恶意软件，它使这些威胁行为者能够安装特别的有效载荷并控制受害者的系统。此外，网络钓鱼活动还利用了 GitHub 服务器和 Cloudflare 事情器以及 WinRAR 漏洞（CVE-2023-38831）。lyingYeti 威胁行为者的活动与之前确定的威胁行为者 UAC-0149 有重叠，后者曾在 2023 年秋季使用相同的恶意软件攻击乌克兰国防实体。2024 年 4 月中旬至 5 月中旬期间，据视察，FlyingYeti 威胁行为者正在对受害者进行侦察活动，这些活动很可能用于原定于复生节期间提倡的活动。

https://gbhackers.com/flyingyeti-winrar-vulnerability-malware-attacks/

5. LilacSquid 黑客攻击 IT 行业以获取机密数据

6月1日，黑客瞄准 IT 行业，因为这些行业掌握着名贵的数据、要害的基础设施，而且通�？梢苑梦矢鞲隽煊虻拿舾行畔�。入侵 IT 公司可以为黑客提供进行间谍活动、获取经济利益以及破坏基本服务的巨大机会。近日，思科Talos网络宁静研究人员发现，LilacSquid黑客一直在积极攻击IT行业，以获取机密数据。Talos 确信“LilacSquid” APT 组织至少从 2021 年开始就一直在进行数据窃取活动，乐成入侵了亚洲、欧洲和美国的制药、石油、天然气和技术行业的目标初始访问利用了漏洞和被盗的 RDP 凭据。入侵后，LilacSquid 部署了 MeshAgent 远程访问工具、QuasarRAT 的定制“PurpleInk”变体以及 SSF 等开源署理工具，与 Lazarus 和 Andariel 等朝鲜组织的 TTP 重叠。该活动建立了数据泄露的恒久访问权限，先前的供应链漏洞凸显了这种连续、高级威胁的风险。入侵后，他们使用 MeshAgent 等法式进行远程访问、使用 SSF 进行宁静隧道以及使用定制恶意软件 InkLoader、PurpleInk RAT 等。

https://gbhackers.com/lilacsquid-hackers-attacking-it-industries/

6. 数百名英国、法国和欧盟政客的信息在网上宣布

5月31日，据专注于隐私的解决方案提供商 Proton 称，数百名英国、法国和欧洲议会政客的电子邮件地址和其他信息可以在暗网市场上找到。作为 Proton 与 Constella Intelligence 合作开展的一项研究的一部门，研究人员在暗网上搜索了近 2,300 个属于英国、法国和欧洲议会议员的官方政府电子邮件地址。总共有 918 个电子邮件地址被泄露到网络犯罪市场，但每个组织受影响的政客比例有所差异。例如，英国议员受到的影响最大，68% 的目标电子邮件地址泛起在暗网上。就欧盟议会议员而言，44% 的电子邮件地址被宣布在黑客论坛上。只有 18% 的法国议员和参议员的数据被泄露。就英国政客的案例而言，其中包罗政府高层和阻挡派人物，他们的电子邮件地址在暗网上被发现凌驾 2,100 次。在许多情况下，电子邮件地址在政府网站上是果然的。问题在于，电子邮件地址泛起在暗网市场上表明这些地址曾被用来在种种第三方在线服务上建立账户，而这些服务在某个时候遭到了黑客攻击。

https://www.securityweek.com/information-of-hundreds-of-european-politicians-found-on-dark-web/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究