东森平台

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Quad7僵尸网络瞄准SOHO设备，通信计谋更隐秘

宣布时间 2024-09-10

1. Quad7僵尸网络瞄准SOHO设备，通信计谋更隐秘

9月9日，Quad7 僵尸网络近期通过定制恶意软件攻击更多SOHO设备，尤其是Zyxel VPN、Ruckus 无线路由器和Axentra媒体服务器，显示出其不停进化的运营计谋。该网络不仅针对TP-Link和华硕路由器，还扩展到新的目标，利用差异登录变体如“xlogin”、“alogin”、“rlogin”和“zylogin”，通过特定端口控制设备。尽管某些新集群如“rlogin”和“zylogin”熏染案例相对较少，但潜在威胁不容小觑，可能携带针对更广泛设备的新漏洞。Quad7 的演变还包罗技术上的革新，如放弃传统的SOCKS署理，转而接纳KCP协议和“FsyNet”工具进行UDP通信，以及使用“UPDTAE”后门和HTTP反向shell进行更隐蔽的控制，这些都极大地增加了检测难度。此外，实验中的“netd”二进制文件与CJD route2协议的结合，预示着可能开发出更为隐秘的通信机制。面对这一连续演变的威胁，用户应接纳积极防御措施，包罗安装最新固件更新、更改默认管理密码、禁用不须要的Web管理功效，并在可能的情况下升级至支持恒久宁静更新的设备型号。

https://www.bleepingcomputer.com/news/security/quad7-botnet-targets-more-soho-and-vpn-routers-media-servers/

2. Highline公立学校因网络攻击关闭全学区，学生开学受阻

9月9日，华盛顿州Highline公立学校学区，服务布里恩、得梅因、诺曼底公园、西塔科和白中心社区的34所学校及17,500名学生，近日遭遇网络攻击，导致学区技术系统泛起未授权活动。为确保学生宁静，学区紧急关闭了所有学校并取消了原定于9月9日的所有活动，包罗体育和会议，尽管学区中央办公室仍正常运作。学区迅速行动，隔离要害系统，并与第三方及州、联邦合作伙伴紧密合作，以宁静恢复和测试系统。此次突发状况尤其对学生家庭造成未便，特别是正值幼儿园开学前夕，学区对此深表歉意，并强调学生宁静是首要考量。目前，视察事情正在进行中，尚未明确网络攻击的具体性质及是否有师生个人信息泄露。Highline学区计划于周一下午前向教职员工和家长通报后续部署。

https://www.bleepingcomputer.com/news/security/highline-public-schools-closes-schools-following-cyberattack/

3. Predator 间谍软件行动以新的基础设施卷土重来

9月9日，在美国对Intellexa联盟实施制裁后，研究人员发出预警，指出Predator间谍软件可能通过新基础设施卷土重来。此前，美国财政部因Intellexa在开发和分发针对美国人的商业间谍软件中的作用，对其相关个人和实体进行了制裁。Predator以其广泛的数据窃取和监视功效著称，曾被用于监视政府官员、记者及政策专家。制裁后，该间谍软件活动一度减少，但现已在新基础设施上重新活跃，尤其是在刚果民主共和国和安哥拉等国家连续被使用。Recorded Future指出，Predator的苏醒可能与其革新的基础设施、增强的匿名操作和逃避检测能力有关，使得追踪变得更为困难。尽管攻击链未变，仍依赖“一键”和“零点击”漏洞，但Predator对知名人士如政客、高管、记者和活动家的威胁依旧重大。其高昂的许可费表明，该软件被用于针对战略性、高价值目标。这一趋势引发了欧盟等地域对雇佣间谍软件滥用的担忧，尤其是在政治阻挡派和记者中的使用，已引发对监视合法性和道德性的质疑。随着监控市场的不停增长，政府和网络宁静专家需保持高度警惕，以应对庞大恶意软件和监控工具带来的挑战。

https://securityaffairs.com/168222/intelligence/predator-spyware-new-infrastructure.html

4. Slim CD遭黑客入侵，近170万用户信用卡及个人数据泄露

9月9日，Slim CD作为为零售、酒店及餐饮等行业提供支付解决方案的服务商，近日果然了一起重大数据泄露事件，该事件波及近170万用户，其信用卡及个人敏感信息遭到泄露。黑客在长达近一年的时间里（2023年8月至2024年6月），悄无声息地侵入了Slim CD的系统。该公司于今年6月15日首次察觉异�；疃�，并追溯发现黑客入侵始于2023年8月17日。尽管入侵时间长，但Slim CD指出，信用卡信息的检察或窃取主要集中在6月14日至15日这两天。泄露的信息包罗用户的姓名、地址、信用卡号码及有效期，尽管未包罗要害的卡验证号（CVV），但仍增加了信用卡欺诈的风险。Slim CD已加强其宁静体系以防范未来类似事件，并建议受影响用户提高警惕，留意欺诈迹象，并立即向银行陈诉任何可疑活动。值得注意的是，受影响的用户并未获得免费身份偷窃�；し�。

https://www.bleepingcomputer.com/news/security/payment-gateway-data-breach-affects-17-million-credit-card-owners/

5. RAMBO攻击利用内存总线无线电信号从隔离系统窃取数据

9月9日，研究人员Mordechai Guri开发出了一种名为RAMBO的新型攻击技术，该技术利用内存总线发生的无线电信号，乐成地从物理和逻辑双重隔离的系统中远程窃取数据。该技术允许攻击者以每秒1,000比特的速度，在最远7米距离内偷取包罗加密密钥、图像、按键和生物特征信息等在内的敏感数据。通过软件界说无线电（SDR）硬件和天线，恶意软件能够在隔离系统中编码数据，并将这些编码后的数据以电磁波的形式辐射出去，进而被远处的接收设备捕捉并解码。RAMBO攻击的核心在于利用RAM的访问模式，生成与二进制数据相对应的电磁信号，形成隐蔽通道。这种攻击方式突破了传统隔离系统的宁静防线，因为即便系统被物理隔离，也无法抵御来自内部恶意软件的威胁。恶意软件可通过多种途径（如熏染USB驱动器、内部人员恶意操作或供应链攻击）被植入隔离系统。Mordechai Guri进一步揭示了数据通过RAM传输时发生的电磁辐射是泄露的要害，这些辐射的频率与数据宽度、时钟速度及系统架构紧密相关。通过精确控制内存访问指令，攻击者能够建立电磁隐蔽通道，实现数据的远程传输。针对RAMBO攻击，研究人员也提出了相应的防御计谋和�；ご胧�。

https://www.securityweek.com/new-rambo-attack-allows-air-gapped-data-theft-via-ram-radio-signals/

6. 朝鲜黑客利用LinkedIn诱骗部署COVERTCATCH恶意软件

9月7日，朝鲜威胁行为者通过LinkedIn平台对Web3领域的开发人员实施了一系列精心筹谋的虚假招聘攻击，利用社会工程学手段诱骗目标下载并执行恶意软件。谷歌子公司Mandiant在其最新陈诉中揭示了这些攻击的细节，指出攻击者常以编码测试为幌子，通过发送包罗COVERTCATCH恶意软件的ZIP文件作为初始熏染手段。该恶意软件旨在熏染macOS系统，并通过下载第二阶段有效负载建立持久性控制。此类活动属于朝鲜黑客组织广泛活动的一部门，如“梦想事情行动”等，它们利用事情诱饵流传RustBucket、KANDYKORN等恶意软件。尤为值得关注的是，朝鲜黑客不仅限于社会工程学攻击，还涉足软件供应链攻击，如针对3CX和JumpCloud的先例所示。一旦通过恶意软件获得立足点，攻击者会进一步窃取密码、进行内部侦察，并渗透云环境以偷取加密货币资金。FBI也发出警告，指出朝鲜威胁行为者正利用高度定制化的社会工程活动，特别是针对加密货币行业，通过伪造个性化招聘或投资机会，企图为受制裁的朝鲜获取非法收入。这些攻击前常陪同详尽的受害者配景视察，以增强信任感，提高攻击乐成率。FBI强调，犯罪分子会利用受害者的个人信息或鲜为人知的细节来建立联系，进而流传恶意软件，实现其非法目的。

https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号