2025-04-17 17:56 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•最后一刻的“缓刑”:CISA紧急延长CVE项目资金支持
•马斯克DOGE团队账户被指用来试图入侵美国劳工关系委员会系统
•研究显示:92%企业移动应用存在加密安全隐患
•黑客论坛BreachForums遭攻击下线,Dark Storm组织称"只为好玩"
•服务器安全配置糟糕,Medusa勒索软件组织运营基础设施遭曝光
•超1.6万台Fortinet设备遭符号链接后门攻击,敏感数据面临泄露风险
•输液中心技术服务供应商遭黑客攻击,11.8万患者信息泄露
•网络钓鱼新手法:假冒PDFCandy文件转换网站传播恶意软件
热点观察
最后一刻的“缓刑”:CISA紧急延长CVE项目资金支持
美国网络安全和基础设施安全局(CISA)宣布,美国政府已延长对MITRE的资金支持,以确保通用漏洞和暴露(CVE)项目的关键服务不会中断。这一决定是在MITRE副总裁Yosry Barsoum警告政府资金可能于4月16日到期后做出的。据了解,此次合同延期为期11个月。
CVE项目由MITRE维护,为讨论安全漏洞提供准确性、清晰度和共享标准,资金来自美国国土安全部(DHS)的国家网络安全部门。CISA表示,CVE项目对网络安全社区至关重要,是该机构的优先事项。合同延期执行后,CVE服务将继续运行,不会出现中断。
在CISA宣布此消息前,一群CVE董事会成员宣布成立非营利组织CVE基金会,旨在确保CVE项目的独立性。该基金会计划在未来几天发布更多关于过渡计划的信息。与此同时,欧洲网络与信息安全局(ENISA)也推出了欧洲漏洞数据库(EUVD),采用多方利益相关者方法,从多个来源收集公开可用的漏洞信息。
原文链接:
马斯克DOGE团队账户被指用来试图入侵美国劳工关系委员会系统
据一名美国国家劳工关系委员会(NLRB)内部IT工程师Daniel Berulis的举报,有人使用俄罗斯IP地址试图通过埃隆·马斯克的政府效率部门(DOGE)员工设立的合法账户,访问NLRB的内部系统。这一指控已通过其律师提交给参议院情报委员会。
根据宣誓书,这些访问尝试虽然被阻止,但使用了有效凭证,并且发生在DOGE工作人员创建账户后不久。此外,在DOGE活跃的一周内,其员工还将10GB数据从该机构"窃取"到美国境内甚至可能更远的服务器。还有人于4月7日在Berulis家门口贴了一张纸条,附有无人机拍摄的他在家附近行走的照片,被解读为恐吓行为。、
NLRB官方回应称内部调查未发现系统入侵。自特朗普1月20日签署行政命令以来,DOGE已进入多个高调机构,包括人事管理办公室和财政部,引发了对政府网络安全规定是否仍然有效的担忧。
原文链接:
研究显示:92%企业移动应用存在加密安全隐患
Zimperium最新报告《你的应用程序正在泄露数据:你手机上隐藏的数据风险》对17,333款企业移动应用进行安全分析,揭示了严重的安全漏洞,可能使数百万用户和企业面临风险。
研究人员分析了来自官方应用商店的6037款Android应用和11,626款iOS应用,发现两大平台均存在严重安全问题。主要发现包括:83款Android应用使用未受保护或配置错误的云存储,10款Android应用暴露了AWS凭证,92%的分析应用使用弱加密或有缺陷的加密方法,前100名应用中有5款存在高危加密漏洞。
这些漏洞可能导致数据在传输和存储过程中被暴露,企业面临未授权访问、数据操纵或勒索的风险。为应对这些风险,Zimperium建议企业识别并解决云存储配置问题,检测并轮换暴露的凭证和API密钥,验证加密方法,避免使用过时或不安全的算法,并监控第三方SDK的已知漏洞。
原文链接:
https://www.infosecurity-magazine.com/news/92-mobile-apps-insecure/
黑客论坛BreachForums遭攻击下线,Dark Storm组织称"只为好玩"
臭名昭著的黑客交易平台BreachForums再次遭遇关闭。黑客组织Dark Storm Team声称对此次攻击负责。该组织被认为导致上月Elon Musk旗下X平台大规模宕机。
Dark Storm Team是一个提供DDoS服务的黑客组织,周二期间还攻击了芬兰中央银行和匈牙利国防部等多个关键基础设施网站。Dark Storm Team在其Telegram频道上声称,他们对BreachForums实施了分布式拒绝服务(DDoS)攻击,仅仅是"为了好玩"。该组织提供的Check-Host.net链接显示,到当天下午,该网站在全球二十多个国家仍无法访问。
BreachForums自2023年3月其创始人Pompompurin被捕以来,经历了多次关闭与重启。最近一次被FBI查封是在2024年5月。在Dark Storm Team宣称对攻击负责之前,X平台上充斥着FBI再次查封该网站的猜测。威胁情报公司ThreatMon指出,没有出现典型的FBI"查封"页面,域名技术记录也未显示官方接管的迹象,暗示该网站可能只是被下线而非正式查封。
原文链接:
https://cybernews.com/news/breachforums-dark-storm-ddos-cyberattack-fbi-hackers/
服务器安全配置糟糕,Medusa勒索软件组织运营基础设施遭曝光、
网络安全研究人员近日成功揭示了臭名昭著的勒索软件组织Medusa的真实服务器身份。这个通过Tor隐藏服务运作的组织,因其基础设施中的漏洞被巧妙利用而暴露。
自 2019 年出现以来,Medusa勒索软件组织主要针对医疗保健、教育和制造领域的组织发起了数百次攻击,已成为网络安全领域的巨大威胁。Covsec研究团队发现了Medusa勒索软件博客平台的一个关键漏洞,成功绕过了Tor网络提供的保护。通过利用这个高危漏洞,安全团队执行了一次权限提升攻击,揭示了隐藏服务的实际IP地址:95.143.191.148。该服务器托管在俄罗斯SELECTEL(AS49505)路由的网络上,运行Ubuntu Linux和OpenSSH 8.9p1。服务器暴露了三个服务:22端口的SSH,80端口的HTTP,以及3000端口的额外HTTP服务。
攻击过程利用了服务器端请求伪造(SSRF)漏洞,最终执行了"curl -s https://ifconfig.me"命令来验证实际IP地址。研究人员使用Censys搜索引擎验证了这一发现。暴露的服务器展示了糟糕的安全配置,包括开放的标准SSH端口使用密码认证,以及3000端口直接暴露Medusa Locker Group的受害者谈判门户。这次曝光为了解支持Medusa运营的基础设施提供了前所未有的洞察。
原文链接:
https://cybersecuritynews.com/researchers-deanonymized-medusa-ransomware/
网络攻击
超1.6万台Fortinet设备遭符号链接后门攻击,敏感数据面临泄露风险
据威胁监控平台Shadowserver Foundation报告,超过1.6万暴露在互联网上的Fortinet设备被发现遭受新型符号链接后门攻击。该后门允许攻击者对先前被入侵的设备上的敏感文件进行只读访问。
Fortinet上周警告客户,他们发现了一种新的持久性机制,威胁行为者利用此机制保持对已修补FortiGate设备根文件系统的远程只读访问。这与2023年至2024年期间利用零日漏洞入侵FortiOS设备的攻击有关。攻击者在启用SSL-VPN的设备上,在语言文件文件夹中创建了指向根文件系统的符号链接。由于这些语言文件在启用SSL-VPN的FortiGate设备上可公开访问,攻击者可以浏览该文件夹并获得对根文件系统的持久只读访问权限,即使初始漏洞已被修补。
Fortinet已发布更新的AV/IPS签名,可检测并删除受感染设备上的恶意符号链接。最新固件版本也已更新,可检测并删除该链接,并防止未知文件和文件夹被内置Web服务器提供服务。Fortinet建议受影响设备的管理员重置所有凭据,并遵循其提供的指南采取其他安全措施。
原文链接:
输液中心技术服务供应商遭黑客攻击,11.8万患者信息泄露
美国纽约技术公司Endue Software近日确认发生数据泄露事件,导致超过11.8万名患者的敏感个人信息被曝光。该公司为全美输液诊所提供数字基础设施管理服务。
此次攻击发生于2025年2月16日,但直到最近才因法律要求向监管机构和受影响个人发出通知而被公开。Endue承认黑客成功入侵其系统并复制了大量个人数据,包括患者全名、社会安全号码、出生日期和医疗记录号等敏感信息。
Endue在通知中表示,该公司已实施额外安全措施以降低与此事件相关的风险,并帮助防止类似事件再次发生。目前尚无证据表明被盗数据已被滥用,但该公司正为受害者提供12个月的免费信用监控和身份盗窃保护服务。
原文链接:
https://cybernews.com/security/infusion-center-software-breach-exposes-patient-data/
网络钓鱼新手法:假冒PDFCandy文件转换网站传播恶意软件
CloudSEK网络安全研究人员近日发现了一个利用PDFCandy.com知名度的复杂恶意软件活动。攻击者通过仿冒这款拥有超过250万用户(其中超过50万来自印度)的在线文件转换工具,分发ArechClient2信息窃取恶意软件。
研究显示,攻击者创建了假冒的PDF转DOCX转换器,精心复制了合法网站的用户界面,并注册了相似的域名以欺骗用户。当用户访问这些假网站时,会被要求上传PDF文件进行转换,网站甚至显示虚假的加载动画以建立信任。随后,网站会出现CAPTCHA验证,这标志着攻击从社会工程转向系统入侵的关键步骤。验证后,网站指示用户运行Windows PowerShell命令,导致系统被入侵。命令分析揭示了一系列重定向,最终指向名为"adobe.zip"的文件,该文件已被多个安全服务标记为恶意。该文件包含名为"SoundBAND"的文件夹,内有危险的可执行文件"audiobitexe"。攻击者利用合法的Windows程序和工具发起多阶段攻击,最终启动ArechClient2信息窃取恶意软件。
FBI于2025年3月17日警告称,恶意在线文件转换器正被用于分发有害软件。为防范此类威胁,用户应谨慎使用在线文件转换服务,在上传文件前验证网站合法性,注意URL,并警惕意外提示。
原文链接:
