RedTail挖矿利用 Palo Alto Networks 防火墙的缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

RedTail挖矿利用 Palo Alto Networks 防火墙的缝隙

颁布功夫 2024-06-03

1. RedTail挖矿利用 Palo Alto Networks 防火墙的缝隙

5月31日，RedTail加密钱币挖掘恶意软件背后的威胁行为者将最近披露的影响 Palo Alto Networks 防火墙的安全缝隙增长到其缝隙利用库中。凭据网络基础设施和安全公司 Akamai 的钻研了局，该恶意软件不仅在其工具包中增长了 PAN-OS 缝隙，还对其进行了更新，目前已选取了新的反分析技术。Akamai 发现的习染序列利用了 PAN-OS 中现已建补的缝隙CVE-2024-3400（CVSS 评分：10.0），该缝隙可能允许未经身份验证的攻击者在防火墙上以 root 权限执行肆意代码。成功利用之后，将执行旨在从表部域检索和运行 bash shell 剧本的号令，该剧本反过来掌管凭据 CPU 架构下载 RedTail 有效负载。RedTail 的其他传布机造涉及利用 TP-Link 路由器（CVE-2023-1389）、ThinkPHP（CVE-2018-20062）、Ivanti Connect Secure（CVE-2023-46805 和 CVE-2024-21887）以及 VMWare Workspace ONE Access 和 Identity Manager（CVE-2022-22954）中已知的安全缝隙。RedTail于 2024 年 1 月初次由安全钻研员 Patryk Machowiak 纪录，涉及利用 Log4Shell 缝隙 (CVE-2021-44228) 在基于 Unix 的系统上部署恶意软件的活动。

https://thehackernews.com/2024/05/redtail-crypto-mining-malware.html

2. Cooler Master 确认数据泄露事务中客户信息被盗

5月31日，推算机硬件造作商 Cooler Master 确认其于 5 月 19 日遭逢数据泄露，威胁行为者窃取了客户数据。Cooler Master 是一家驰名的推算机硬件造作商，以其冷却设备、推算机机箱、电源和其他表围设备而闻名。BleepingComputer昨天报路称，一个名为“Ghostr”的威胁行为者通知我们，他们于 5 月 18 日入侵了该公司的 Fanzone 网站并下载了其链接的数据库。Cooler Master 的 Fanzone 网站用于注册产品保建、申请 RMA 或开立支吃毂，要求客户填写幼我数据，例如姓名、电子邮件地址、地址、电话号码、诞生日期和现实地址。Ghostr 暗示，在 Fanzone 缝隙产生期间，他们下载了 103 GB 的数据，其中蕴含超过 500,000 名客户的客户信息。威胁行为者还共享了数据样本，使 BleepingComputer 可能与违规行为中列出的多多客户确认他们的数据是正确的，并且他们最近向 Cooler Master 要求了支持或 RMA。样本中的其他数据蕴含产品信息、员工信息以及与供给商的电子邮件信息。威胁者宣称占有部门信誉卡信息，但 BleepingComputer 在数据样本中找不到这些数据。

https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/

3. BBC 披露了影响其养老金打算成员的数据泄露事务

6月1日，BBC 的信息安全团队已向我们传递了一路数据安全事务，其中部门蕴含 BBC 养老金打算成员幼我信息的文件被从云存储服务中复造。这些文件蕴含一些养老金打算成员的幼我信息，蕴含姓名、国民保险号、诞生日期和家庭住址等具体信息。”布告写路。“所涉及的数据文件是副本，因而对打算的正常运作没有影响。该事务未影响养老金打算门户网站的运行，用户能够持续使用。该事务泄露了约 25,000 名 BBC 养老金打算成员的幼我信息，其中蕴含现任和前任员工。泄露的数据蕴含全名、国民保险号、诞生日期、性别和家庭住址。这家英国公共服务广播公司在表部专家的援手下调查了这一事务，并已采取了额表的安全措施。专家们已经确定了安全缝隙的原因并采取了安全措施。该公司在通过电子邮件或邮寄方式联系所有受影响的会员。目前，该公司没有证据批注受损文件已被滥用。

https://securityaffairs.com/163908/data-breach/bbc-disclosed-data-breach.html

4. FlyingYeti利用WinRAR缝隙进行有针对性的攻击活动

6月2日，自 2022 年 2 月 24 日俄罗斯入侵乌克兰以来，列国之间以及全世界之间的严重大势一向很严沉。这次事务后，乌克兰对未偿债务的住户执行了摈除和终止公用事业服务的禁令，该禁令将于2024年1月实现。然而，这一特按时期却被一名名为FlyingYeti的威胁行为者所利用。该威胁行为者利用乌克兰公民对未偿还债务和可能失去住房的焦虑，发展了以债务为主题的网络垂钓活动，诱骗受害者将恶意软件文件下载到他们的系统中。该恶意软件是一种称为“COOKBOX”的 PowerShell 恶意软件，它使这些威胁行为者可能装置额表的有效载荷并节造受害者的系统。此表，网络垂钓活动还利用了 GitHub 服务器和 Cloudflare 工作器以及 WinRAR 缝隙（CVE-2023-38831）。lyingYeti 威胁行为者的活动与之前确定的威胁行为者 UAC-0149 有沉叠，后者曾在 2023 年秋季使用一样的恶意软件攻击乌克兰国防实体。2024 年 4 月中旬至 5 月中旬期间，据观察，FlyingYeti 威胁行为者在对受害者进行窥伺活动，这些活动很可能用于原定于新生节期间提议的活动。

https://gbhackers.com/flyingyeti-winrar-vulnerability-malware-attacks/

5. LilacSquid 黑客攻击 IT 行业以获取机密数据

6月1日，黑客对准 IT 行业，由于这些行业把握着贵重的数据、关键的基础设施，并且通�Ｄ芄唤蛹鞲隽煊虻拿舾行畔�。入侵 IT 公司可以为黑客提供进行间谍活动、获取经济利益以及粉碎根基服务的巨大机遇。近日，思科Talos网络安全钻研人员发现，LilacSquid黑客一向在积极攻击IT行业，以获取机密数据。Talos 确信“LilacSquid” APT 组织至少从 2021 年起头就一向在进行数据窃取活动，成功入侵了亚洲、欧洲和美国的造药、石油、天然气和技术行业的指标初始接见利用了缝隙和被盗的 RDP 痛处。入侵后，LilacSquid 部署了 MeshAgent 远程接见工具、QuasarRAT 的定造“PurpleInk”变体以及 SSF 等开源代理工具，与 Lazarus 和 Andariel 等朝鲜组织的 TTP 沉叠。该活动成立了数据泄露的持久接见权限，先前的供给链缝隙凸显了这种持续、高级威胁的风险。入侵后，他们使用 MeshAgent 等法式进行远程接见、使用 SSF 进行安全隧路以及使用定造恶意软件 InkLoader、PurpleInk RAT 等。

https://gbhackers.com/lilacsquid-hackers-attacking-it-industries/

6. 数百名英国、法国和欧盟政客的信息在网上颁布

5月31日，据专一于隐衷的解决规划提供商 Proton 称，数百名英国、法国和欧洲议会政客的电子邮件地址和其他信息能够在暗网市场上找到。作为 Proton 与 Constella Intelligence 合作发展的一项钻研的一部门，钻研人员在暗网上搜索了近 2,300 个属于英国、法国和欧洲议会议员的官方当局电子邮件地址。总共有 918 个电子邮件地址被泄露到网络犯罪市场，但每个组织受影响的政客比例有所分歧。例如，英国议员受到的影响最大，68% 的指标电子邮件地址呈此刻暗网上。就欧盟议会议员而言，44% 的电子邮件地址被颁布在黑客论坛上。只有 18% 的法国议员和参议员的数据被泄露。就英国政客的案例而言，其中蕴含当局高层和否决派人物，他们的电子邮件地址在暗网上被发现超过 2,100 次。在很多情况下，电子邮件地址在当局网站上是公开的。问题在于，电子邮件地址呈此刻暗网市场上批注这些地址曾被用来在各类第三方在线服务上成立账户，而这些服务在某个时辰遭到了黑客攻击。

https://www.securityweek.com/information-of-hundreds-of-european-politicians-found-on-dark-web/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研