https://support.checkpoint.com/results/sk/sk182336
Check Point已发布针对此前在攻击中利用的VPN零日漏洞的热修复程序,该漏洞被用来远程访问防火墙并试图入侵企业网络。 周一,该公司首次警告VPN设备攻击激增,并分享了管理员如何保护其设备的建议。后来发现问题的根源是一个零日漏洞,黑客利用该漏洞对其客户进行攻击。该漏洞编号为CVE-2024-24919,是一个高严重性的信息泄露漏洞,使攻击者能够读取在暴露于互联网的Check Point安全网关上启用了远程访问VPN的某些信息。"该漏洞可能允许攻击者读取在互联网连接的网关上启用了远程访问VPN或移动访问功能的某些信息,"Check Point在其之前的公告更新中提到。
Okta警告称,Customer Identity Cloud (CIC)中的跨源身份验证功能易受威胁行为者发起的凭证填充攻击。可疑活动始于2024年4月15日,公司表示已“主动”通知了启用该功能的客户。但未透露受到攻击影响的客户数量。凭证填充是一种网络攻击类型,对手尝试使用从之前的数据泄露、网络钓鱼或恶意软件活动中获得的用户名和密码列表登录在线服务。作为推荐的应对措施,用户被要求检查租户日志中是否有意外登录事件的迹象——例如失败的跨源身份验证(fcoa)、成功的跨源身份验证(scoa)和密码泄露(pwd_leak),旋转凭证,并限制或禁用租户的跨源身份验证。
微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来,这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序(TTP)在很大程度上与其他朝鲜攻击者重叠,但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone Sleet已被观察到使用特洛伊化软件(如PuTTY)、恶意游戏和npm包、自定义恶意软件加载器,以及设立虚假软件开发公司(如StarGlow Ventures、C.C. Waterfall)与潜在受害者在LinkedIn、Telegram、自由职业网络或通过电子邮件互动,来攻击金融和网络间谍目标。“当微软首次检测到Moonstone Sleet活动时,该行为体与Diamond Sleet有很强的重叠,广泛重用已知的Diamond Sleet恶意软件(如Comebacker)的代码,并使用已建立的Diamond Sleet技术访问组织,如通过社交媒体传递特洛伊化软件,”微软表示。
https://www.fortiguard.com/psirt/FG-IR-23-130
安全研究人员已发布了Fortinet安全信息和事件管理(SIEM)解决方案的最高严重性漏洞的概念验证(PoC)利用代码,该漏洞已于今年二月修补。追踪编号为CVE-2024-23108,允许无需身份验证的远程命令执行并以root权限运行。“FortiSIEM主管中的多个操作系统命令中特殊元素中和不当漏洞[CWE-78]可能允许远程未经身份验证的攻击者通过精心构造的API请求执行未经授权的命令,”Fortinet表示。CVE-2024-23108影响FortiClient FortiSIEM 6.4.0及更高版本,并于今年2月8日与另一个10/10严重性评分的RCE漏洞(CVE-2024-23109)一起修补。在最初否认这两个CVE漏洞的真实性并声称它们实际上是十月份修复的类似漏洞(CVE-2023-34992)的重复漏洞后,Fortinet还表示,这些CVE的披露是“系统级错误”,因为它们由于API问题而被错误生成。
https://apps.web.maine.gov/online/aeviewer/ME/40/8912d568-e577-49a3-93ba-f9341533d332.shtml
处方管理公司Sav-Rx正在警告美国280多万人,他们的个人数据在2023年一次网络攻击中被盗。A&A Services,以Sav-Rx名义经营,是一家药品福利管理(PBM)公司,向美国各地的雇主、工会和其他组织提供处方药管理服务。上周五,该公司向缅因州总检察长办公室通报了2023年10月的一起网络安全事件,该事件暴露了2812336人的数据。“在2023年10月8日,我们发现了计算机网络的中断。因此,我们立即采取措施保护系统,并聘请了第三方网络安全专家。”发给受影响个人的通知中写道。
https://securityaffairs.com/163888/malware/lightspy-macos-version.html
研究人员发现 macOS 版本的 LightSpy 监视框架至少自 2024 年 1 月以来一直在野外活跃。
https://securityaffairs.com/163876/cyber-crime/operation-endgame.html
2024 年 5 月 27 日至 29 日,由欧洲刑警组织协调的代号为“终局行动”的国际执法行动,针对的是IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee和Trickbot等恶意软件投放器。是有史以来针对僵尸网络的最大规模执法行动。
https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html
美国网络安全和基础设施安全局 (CISA) 周四将影响 Linux 内核的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中,并指出有证据显示该漏洞存在主动利用。该高严重性问题被标记为CVE-2024-1086(CVSS 评分:7.8),与 netfilter 组件中的释放后使用错误有关,该错误允许本地攻击者将权限从普通用户提升到 root 并可能执行任意代码。
https://www.theregister.com/2024/05/29/ddos_internet_archive/
互联网档案馆自周日以来一直遭受分布式拒绝服务 (DDoS) 攻击,并且正在努力维持服务。攻击者每秒发起了“数以万计的虚假信息请求”。
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/
近日,研究人员观察到 Redline Stealer 木马的新变种,开始利用 Lua 字节码逃避检测。根据遥测数据,Redline Stealer 木马已经日渐流行,覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。