Mirai僵尸网络利用NVR、TP-Link 路由器中的缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

Mirai僵尸网络利用NVR、TP-Link 路由器中的缝隙

颁布功夫 2024-12-25

1. Mirai僵尸网络利用NVR、TP-Link 路由器中的缝隙

12月24日，一种新的基于Mirai的僵尸网络在利用尚未收到跟踪器编号且未在DigiEver DS-2105 Pro NVR中建补的远程代码执行缝隙。该活动始于10月，重要针对网络录像机和固件过期的TP-Link路由器。TXOne钻研员Ta-Lun Yen去年在DefCamp安全会议上展示了其中一个缝隙，影响了多台DVR设备。Akamai的钻研人员观察到，只管该僵尸网络在11月中旬起头利用此缝隙，但证据批注其活动至少从9月已起头。除了DigiEver缝隙，新的Mirai变种还针对TP-Link的CVE-2023-1389缝隙和Teltonika RUT9XX路由器的CVE-2018-17532缝隙。针对DigiEver NVR的攻击通过远程代码执行缺点实现，黑客利用未正确验证用户输入的URI注入号令，从而获取恶意软件二进造文件并将设备纳入僵尸网络。一旦设备被攻击，就会用于散布式回绝服务攻击或传布到其他设备。新的Mirai变种选取XOR和ChaCha20加密，支持多种系统架构。Akamai指出，只管复杂解密步骤不新鲜，但显示Mirai僵尸网络运营商在战术和技术上不休进取。

https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/

2. Clop勒索软件团伙利用Cleo零日缝隙提议新勒索攻势

12月24日，Clop勒索软件团伙近期对其Cleo数据偷窃攻击的受害者发出了勒索通知，要求66家公司在48幼时内响应其要求，不然将披露这些公司的全名。Clop通过暗网门户直接联系这些公司，并提供安全谈天频路链接和电子邮件地址进行赎金支付交涉。这次攻击利用了Cleo LexiCom、VLTransfer和Harmony产品中的零日缝隙（CVE-2024-50623），允许远程攻击者执行不受限度的文件上传和下载，导致远程代码执行。Clop从前也曾利用其他平台的零日缝隙接见公司网络。供给商已提供建复法式，但忠告称黑客可能利用该建复法式在受习染的网络上打开反向shell。Clop还颁发将删除以前攻击的数据，以专一于新一轮的勒索活动。目前尚不明显具体有几多公司受到了Clop最新攻击的威胁，但Cleo软件已被全球超过4000家组织使用。

https://www.bleepingcomputer.com/news/security/clop-ransomware-is-now-extorting-66-cleo-data-theft-victims/

3. Postman Workspaces泄露30000个API密钥和敏感令牌

12月24日，CloudSEK的TRIAD团队发现，因滥用Postman Workspaces，大量敏感数据面对泄露风险。在为期一年的调查中，钻研人员发现超过30,000个可公开接见的Postman Workspaces泄露了API密钥、令牌和治理员痛处等敏感信息，涉及GitHub、Slack和Salesforce等平台，影响了蕴含医疗保健、活动服装和金融服务在内的多个行业。泄露的原因重要蕴含接见配置谬误、纯文本存储以及珍藏品的公开共享。CloudSEK指出，这些泄露可能导致数据泄露、未经授权的系统接见以及网络垂钓和社会工程攻击的增长。为确保数据安全，组织应使用环境变量、轮换令牌、选取奥秘治理工具等措施。CloudSEK已向受影响的组织汇报了大无数事务，并督促组织采取更靠得住的安全措施。此表，Postman也执行了奥秘�；ふ�，以预防敏感数据在公共工作区中露出。

https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/

4. 欧洲航天局官方商店遭黑客攻击，窃取客户支付信息

12月24日，欧洲航天局的官方网上商店近期遭到黑客攻击，黑客通过加载一段JavaScript代码，在结账时天生一个虚伪的Stripe支付页面，从而网络客户信息，蕴含支付卡数据。欧洲航天局（ESA）的预算超过100亿欧元，其使命是通过培训宇航员以及建造用于索求宇宙奥秘的火箭和卫星来扩大太空活动的极限。该商店目前无法使用，并显示“临时脱离轨路”的新闻。电子商务安全公司Sansec把稳到了这一恶意剧本，并忠告称该商店似乎与欧洲航天局（ESA）系统集成，可能对员工组成风险。同时，网络利用安全公司Source Defense Research也证实了Sansec的调查了局。在被BleepingComputer询问有关这次入侵的具体信息时，ESA暗示该商店并不托管在其基础设施上，也不治理其上的数据。通过whois查问能够确认，该商店的域名和联系数据与ESA的官方域名分歧，且联系数据已被删除以�；ひ�。

https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/

5. PyPI现恶意Python软件包窃取用户数据

12月24日，Fortinet FortiGuard Lab的AI检测系统近期发现了两个在Python软件包索引(PyPI)上的恶意Python软件包：Zebo-0.1.0和Cometlogger-0.1。这些恶意软件通过键盘纪录、截图和信息泄露等伎俩窃取用户敏感数据，并利用混合技术逃避检测。Zebo-0.1.0利用pynput和ImageGrab等库纪录按键和截取屏幕截图，将敏感信息泄露到远程服务器，并在系统沉启时沉新执行以确维悠久节造。Cometlogger-0.1则专一于信息窃取和悠久存在，针对多个社交平台窃取令牌、密码和帐户信息，并选取反虚构机检测技术和动态文件批改职能。这些恶意软件包对所有能够装置PyPI软件包的平台组成沉大隐衷和安全风险，防备这些威胁必要断开互联网衔接、隔离受习染系统、使用防病毒软件以及在必要时沉新体式化系统。PyPI的方便性陪伴着风险，开发人员必要维持警惕，预防装置恶意软件包。

https://hackread.com/python-malware-zebo-cometlogger-stealing-user-data/

6. 朝鲜黑客攻击DMM Bitcoin，窃取3.08亿美元加密钱币

12月24日，朝鲜黑客组织“TraderTraitor”（也被追踪为Jade Sleet、UNC4899和Slow Pisces）在今年5月对日本DMM Bitcoin买卖所提议攻击，成功窃取了价值3.08亿美元的加密钱币。这次攻击始于3月下旬，黑客假装成LinkedIn上的合法招聘人员，接触并诱导日本企业加密钱币钱包软件公司Ginco的一名员工下载并执行恶意Python代码，进而渗入到Ginco并横向移动到DMM。FBI指出，攻击者利用会话cookie信息假意受习染员工，获取Ginco未加密通讯系统的接见权限，并最终在5月下旬把持DMM员工的合法买卖要求，导致巨额损失。自2022年以来，TraderTraitor一向活跃于区块链领域，使用虚伪利用法式进行社会工程攻击，美国当局一向在亲昵监督其活动。

https://www.bleepingcomputer.com/news/security/fbi-links-north-korean-hackers-to-308-million-crypto-heist/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研