https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/
攻击者正在使用一种名为“Hadooken”的新型Linux恶意软件针对Oracle WebLogic服务器进行攻击,该恶意软件会执行加密货币挖矿程序和分布式拒绝服务(DDoS)攻击工具。攻击者还可能利用获得的访问权限在Windows系统上执行勒索软件。Oracle WebLogic Server是一个企业级Java EE应用服务器,用于构建、部署和管理大规模分布式应用程序。该服务器常用于银行和金融服务、电子商务、电信、政府组织和公共服务。由于Oracle WebLogic服务器在关键的业务环境中非常流行,并且这些环境通常拥有丰富的处理资源,所以攻击者针对这些服务器进行攻击活动。
https://cybersecuritynews.com/citrix-workspace-privilege-escalation/
Citrix发布了安全更新,以修复影响Windows版Citrix Workspace应用程序的两个安全漏洞,分别是CVE-2024-7889和CVE-2024-7890。这些漏洞可能允许本地攻击者在受感染的机器上获得SYSTEM权限。CVE-2024-7889(CVSS v4.0评分7.0)是一个本地权限提升漏洞,允许低权限用户通过不正确地控制资源的生命周期(CWE-664)来获得SYSTEM权限。与该漏洞类似,CVE-2024-7890(CVSS v4.0评分5.4)也使低权限本地用户能够由于不正确的权限管理(CWE-269)提升到SYSTEM权限。这两个漏洞都要求攻击者具有对目标系统的本地访问权限。建议用户对受影响的产品进行安全更新。
川崎欧洲公司称,他们遭受了网络攻击,该网络攻击导致服务中断,而RansomHub勒索组织威胁要泄露窃取的数据。该公司表示,这次攻击针对其欧洲总部,目前正在分析和清理系统中可能残留的威胁。川崎在公告中称,在九月初,川崎欧洲公司(KME)遭受了一次网络攻击,尽管攻击未成功,但导致公司的服务器被暂时隔离,直到当天晚些时候启动了恢复计划。川崎表示,攻击发生后,其IT人员与外部网络安全专家合作,一台一台地检查服务器,然后再将它们重新连接到公司网络中。川崎的公告发布之际,RansomHub勒索组织声称对该攻击负责。该勒索组织于2024年9月5日将川崎公司添加到其网站中,并声称从川崎的网络中窃取了487GB数据。川崎公司尚未对此进行回应。
西雅图港(Port of Seattle)是负责管理西雅图港口和机场的美国政府机构,该机构确认Rhysida勒索组织是对其网络系统进行攻击的幕后黑手。该机构在8月24日透露,网络攻击迫使其隔离了一些关键系统以控制影响。由此导致的IT中断扰乱了预订登记系统,并延误了西雅图-塔科马国际机场的航班。西雅图港的调查确定,未经授权的攻击者能够访问部分计算机系统,并能够对一些数据进行加密。虽然西雅图港已经在一周内将大部分受影响的系统重新上线,但仍在努力恢复其他关键服务。尽管Rhysida勒索组织可能会在暗网中公开窃取的数据,但西雅图港无意向网络犯罪分子支付赎金。
https://therecord.media/france-retailers-hacked-confirm-cyberattack
多家知名法国零售商称遭受网络攻击,导致客户数据泄露,受害者包括Boulanger和Cultura。多家法国媒体报道称,实际受害零售商可能更多。Boulanger在一份声明中表示,攻击者访问了客户的送货地址,但没有泄露银行数据。该公司表示,事件已得到控制,所有受影响的客户都已被通知。Cultura表示,其一个外部IT服务提供商的数据库遭到恶意入侵,攻击者窃取了其150万客户的数据,包括姓名、电话号码、电子邮件和邮寄地址以及订单内容。Cultura声称密码和银行数据未被泄露,并表示已识别出攻击者利用的漏洞并实施了措施,但未提供更多细节。其他可能被攻击的零售商包括Truffaut以及Pepe Jeans。有媒体报道称,攻击者发布的所有数据似乎都来自负责送货的分包商使用的数据库。
https://www.rapid7.com/blog/post/2024/09/12/ransomware-groups-demystified-lynx-ransomware/
Lynx勒索组织于2024年7月被发现,迄今已对多个行业超过20个受害者进行了攻击。Lynx勒索软件会释放一个名为readme.txt的勒索信,引导他们访问一个托管于Tor上的门户网站,并且受害者会被提供一个唯一的ID来登录网站并与该组织进行沟通。此外,Lynx还运营一个公共的博客和泄露页面,公开受害者信息并威胁其支付赎金。研究人员发现Lynx组织使用的勒索软件与INC组织使用的勒索软件有相似之处。报告表明,Lynx组织可能从INC组织处购买了源代码,二进制差异分析显示两者之间有48%的相似性和70.8%的功能重叠。尽管有这些相似之处,但目前仍没有确凿的证据表明Lynx勒索软件源自INC勒索软件的代码。
研究人员近期发现一起攻击活动,攻击始于包含Excel文件的网络钓鱼邮件,该文件利用了CVE-2017-0199漏洞。该文件中的OLE对象中嵌有恶意URL,打开后会下载执行一个恶意的HTA文件。该HTA文件会执行一系列PowerShell命令,最终将Remcos远控木马注入到正常的Windows进程中。该远控木马会在系统中建立持久性,使攻击者能够保持控制并窃取数据。
https://www.securityweek.com/apple-patches-major-security-flaws-with-ios-18-refresh/
苹果公司发布iOS 18更新,修复了至少33个安全漏洞。iOS 18修复了核心组件中的漏洞,涉及辅助功能、蓝牙、控制中心和Wi-Fi,其中一些漏洞允许攻击者未经授权访问敏感数据或完全控制设备。苹果公司特别提到辅助功能组件中的几个漏洞,这些漏洞允许具有物理访问权限的攻击者使用Siri访问敏感用户数据、控制附近设备或在未经身份验证的情况下查看最近的照片。苹果公司表示漏洞未被恶意利用。
安全研究员发布了关于Windows Hyper-V中零日漏洞的详细分析报告,并附上了一段概念验证(PoC)漏洞利用代码,该漏洞被标识为CVE-2024-38080(CVSS 7.8)。这个漏洞已经被攻击者积极利用,允许攻击者提升至SYSTEM权限,将会对使用微软虚拟化技术的组织构成严重风险。微软已确认该漏洞并在2024年7月发布的安全更新中进行了修复,但未公开其细节信息。CISA已将CVE-2024-38080添加至其已知被利用漏洞目录中。
博通旗下的 VMware 周二推出了严重补丁,以修复其 vCenter Server 平台中的两个漏洞,并警告存在远程代码执行攻击的重大风险。其中最严重的一个漏洞被标记为 CVE-2024-38812,记录为 vCenter Server 中分布式计算环境/远程过程调用 (DCERPC) 协议实现中的堆溢出。 第二个漏洞 CVE-2024-38813 被描述为特权升级漏洞,最高 CVSS 严重性评分为 7.5/10。该公司表示:“具有 vCenter Server 网络访问权限的恶意行为者可能会触发此漏洞,通过发送特制的网络数据包将特权升级到 root。”
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。