点击蓝字·关注我们 / aqniu
新闻速览
工信部提醒:防范Androxgh0st僵尸网络风险
BreachForums主犯面临重审, 曾获宽松判决引争议
16个零日漏洞利用,38万美元奖金,Pwn2Own汽车安全挑战赛首日战况喜人
多个网络安全巨头的账户凭证泄露,在暗网被售卖
新型Contacto勒索软件利用Windows控制台执行,规避杀毒软件检测
Oracle发布1月补丁,修复318个漏洞
ABB产品被曝存在1000多个漏洞,可能使建筑物被黑客远程攻击
图片泄露位置?Cloudflare CDN被曝存安全漏洞
特别关注
工信部提醒:防范Androxgh0st僵尸网络风险
工业和信息化部网络安全威胁和漏洞信息共享平台于1月23日发布《关于防范Androxgh0st僵尸网络的风险提示》,指出,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)近日监测到Androxgh0st僵尸网络持续活跃,主要针对物联网设备和网络基础设施,可能导致敏感信息泄露、勒索攻击、业务中断等风险。
Androxgh0st是一种最早发现于2022年12月的跨平台恶意软件,其利用物联网(IoT)设备和Web服务器已知漏洞,通过暴力破解、凭证窃取等方式获取系统管理访问权限并侵入关键基础设施系统,进而部署并执行恶意代码及文件、建立僵尸网络以对被入侵系统进行持续访问和控制。成功感染后,可执行数据窃取、远程控制、系统破坏等各种恶意操作。在近期恶意活动中,Androxgh0st僵尸网络扩大了漏洞利用范围,包括网络服务器、物联网设备和各种技术(包括思科 ASA、Atlassian JIRA 和 TP-Link 路由器)相关漏洞。此外,Androxgh0st僵尸网络整合了Mozi僵尸网络的技术,使其能够利用Mozi的技术优势感染更广泛的物联网设备并共享已感染的网络设施。
CSTIS建议相关单位和用户立即组织排查,及时为受影响的系统及设备打补丁,更新防病毒软件,实施全盘病毒查杀,并可通过及时修复安全漏洞,定期备份数据等措施,防范网络攻击风险。
原文链接:
https://mp.weixin.qq.com/s/inKYV6dcDpGn6n6wxwbIPw
热点观察
BreachForums主犯面临重审, 曾获宽松判决引争议
BreachForums创始人Conor Brian Fitzpatrick面临重新受审判的命运。这个臭名昭著的个人数据交易平台的创办者,之前仅被判处17天监禁和20 年的监督释放,但这一宽松判决遭到撤销,凸显了他网络犯罪行为的严重后果。
2022年3月,在联邦调查局关闭类似平台RaidForums后, Fitzpatrick以"Pompompurin"的化名创建了BreachForums。这个论坛迅速成长为最大的英语数据泄露交易市场,在运营一年期间,托管了超过140亿条个人记录,包括敏感信息如数据库、社会安全号码、出生日期和银行详细资料。该平台还成为黑客买卖被盗数据的中心, Fitzpatrick本人也常常充当这种交易的中介。联邦调查人员透露,在这段时间里,他赚取了约69.8万美元的非法收入,给受害者造成了重大的财务和声誉损失。尽管 Fitzpatrick 承认所有指控,但他的初次审判因法庭考虑到其年轻和自闭症谱系障碍而量刑过轻。
2025 年1 月21 日,第四巡回上诉法院裁定原判决“实质上不合理”,并要求重新判刑,强调不能因个人特征而忽视犯罪的严重性和对公众安全的威胁。此次案件的重新审理可能会导致 Fitzpatrick 面临更长的监禁时间,法律专家预测其刑期将更符合联邦指导方针,可能为数年。
原文链接:
https://hackread.com/breachforums-admin-conor-fitzpatrick-pompompurin-resentenced/
16个零日漏洞利用,38万美元奖金,Pwn2Own汽车安全挑战赛首日战况喜人
1月22日,备受瞩目的Pwn2Own汽车安全挑战赛于东京拉开帷幕,展示了汽车网络安全研究的最前沿成果。在首日比赛中,白帽黑客们展现了出色的技能,利用16个此前未知的漏洞成功攻破了多款车载信息娱乐系统、电动汽车充电桩以及操作系统赢取了38.275万美元奖金。
比赛过程中,既有成功的漏洞利用,也有与已知漏洞重叠的情况,以及一些失败的尝试:PCAutomotive团队利用了Alpine车载信息娱乐系统的栈溢出漏洞;越南Viettel网络安全团队成功利用Kenwood车载系统的OS命令注入漏洞;ANHTUD的Cong Thanh和Nam Dung利用整数溢出漏洞在Sony XAV-AX8500车载系统上执行任意代码;Summoning Team的Sina Kheirkhah利用三个漏洞组合,攻破Phoenix Contact CHARX SEC-3150电动汽车充电桩;Synacktiv团队结合栈溢出漏洞和已知的OCCP漏洞,成功操纵ChargePoint充电桩的信号;PHP Hooligans利用了Autel充电桩的堆溢出漏洞;Sina Kheirkhah利用了Ubiquiti充电桩的硬编码密钥漏洞;fuzzware.io团队通过开放端口访问Autel MaxiCharger,利用栈溢出漏洞进行攻击。
Pwn2Own汽车安全挑战赛将持续至1月24日,届时预计会有更多漏洞被利用。该赛事凸显了解决软件定义汽车网络安全风险的重要性,因为它们正日益成为现代交通运输不可或缺的一部分。
原文链接:
https://cybersecuritynews.com/hackers-exploited-multiple-0-days/
网络攻击
多个网络安全巨头的账户凭证泄露,在暗网被售卖
网络安全威胁情报公司 Cyble 在1月22日的报告中披露,自 2025 年初以来,多个主要网络安全供应商的账户凭证在暗网上被发现泄露。这些凭证涉及至少 14 家安全提供商,泄露的凭证可能来源于信息窃取者的日志,并以低至 10 美元的价格在网络犯罪市场上批量出售。泄露的数据包括内部账户和客户访问权限,涵盖了网络和云环境这表明安全供应商的客户和员工均可能受到影响。
虽然研究人员未对凭证的有效性进行验证,但许多凭证与易于访问的网络控制台接口、单点登录(SSO)以及其他面向互联网的账户访问点相关。研究人员推测,这些泄露可能源于关键的内部系统,例如密码管理器、身份验证系统、设备管理平台,或常见的互联网服务。
受影响的网络安全供应商包括 CrowdStrike 、Exabeam 、Fortinet 、LogRhythm 、McAfee 、Palo Alto Networks 、Qualys 、Rapid7 、RSA Security 、SentinelOne 、Sophos 、Tenable 、Trend Micro 和Zscaler 。其中,自 2025 年初以来,McAfee 泄露了超过600个凭证,CrowdStrike 泄露了超过 300 个,Palo Alto 则接近400个凭证暴露。
Cyble 指出,如果最大的安全供应商都能受到信息窃取者的攻击,那么任何组织都可能成为目标。这一事件提醒各机构在网络安全防护中,必须重视对暗网活动的监控和响应,以降低潜在的安全风险。
原文链接:
https://www.infosecurity-magazine.com/news/cybersecurity-vendors-credentials/
新型Contacto勒索软件利用Windows控制台执行,规避杀毒软件检测
2025年1月首次被发现的新型勒索软件变种Contacto展示了先进的规避技术,并利用 Windows 控制台进行执行。
Contacto 具有以下特性:通过检索控制台窗口句柄并使用 ShowWindow()隐藏命令提示符,确保其执行过程对用户不可见;创建一个名为“ContactoMutex”的互斥体,以确保同一时间仅运行一个实例;试图启用多种 Windows 权限,包括 SeDebugPrivilege 、SeRestorePrivilege 和SeTakeOwnershipPrivilege,以获取系统的广泛控制权;支持灵活的加密模式,支持多种加密模式,如“全加密”、“快速”、“分割”和“自定义”,允许攻击者根据目标调整加密过程;通过操作注册表键禁用 Windows Defender,删除卷影副本,清除事件日志和回收站,以阻碍恢复工作;采用多线程方法,创建的线程数是可用处理器数量的两倍,以优化加密速度;创建一个名为“Windows Update BETA”的假定计划任务,具有 SYSTEM 权限,并在每次启动时运行;使用动态密钥生成、分块数据转换和多阶段 XOR 操作等复杂步骤,目标是文件的特定部分,即使在“全加密”模式下也能使文件不可用。
为防范该病毒,安全专家防范建议:定期更新操作系统和安全软件,以防止新型勒索软件的攻击;定期备份重要数据,并确保备份数据的安全性,以便在遭受攻击时能够快速恢复;提高用户对钓鱼和社会工程攻击的意识,定期进行安全培训;通过网络分段和实施最小权限原则,限制潜在攻击者的活动范围;持续监控系统以发现异常活动,及时响应潜在威胁;在持续集成/持续交付(CI/CD)工作流程中集成应用安全措施,确保软件开发过程中的安全性。
原文链接:
https://cybersecuritynews.com/new-contacto-ransomware-evades-av-detection/
安全漏洞
Oracle发布1月补丁,修复318个漏洞
Oracle 公司近日发布了 2025 年1 月的关键补丁更新,建议用户及时应用该更新以修复其产品和服务中的 318 个新安全漏洞。
其中,最严重的漏洞是 Oracle Agile 产品生命周期管理(PLM)框架中的一个缺陷(CVE-2025-21556,CVSS 评分:9.9),该漏洞可能允许攻击者控制易受攻击的实例。根据美国国家标准与技术研究院(NIST)的描述,该漏洞易于利用,低权限的攻击者只需通过 HTTP 网络访问即可对 Oracle Agile PLM 框架进行攻击。值得注意的是,Oracle 在2024 年11 月曾警告称,针对同一产品中的另一个漏洞(CVE-2024-21287)已出现活跃的利用尝试。这两个漏洞均影响 Oracle Agile PLM 框架的 9.3.6 版本。
此外,Oracle 还修复了两个CVSS 评分为9.8的严重漏洞,包括 JD Edwards EnterpriseOne 工具的监控和诊断 SEC 组件(CVE-2025-21524)、 Apache Xerces C++ XML 解析器组件(CVE-2024-23807)等。另有多个漏洞涉及 Oracle 通信产品和 Oracle WebLogic 服务器,这些漏洞可能被未经身份验证的攻击者利用,造成严重的安全风险。
原文链接:
https://thehackernews.com/2025/01/oracle-releases-january-2025-patch-to.html
ABB产品被曝存在1000多个漏洞,可能使建筑物被黑客远程攻击
近日,研究人员声称在知名电气化和自动化解决方案提供商ABB的产品中发现了1000多个漏洞,其中包括可让设施遭受远程黑客攻击的缺陷,可能会使医院、体育场馆和机场遭受攻击。
这些漏洞安全研究员Gjoko Krstic在ABB Cylon FLXeon和ABB Cylon Aspect建筑能源管理与控制解决方案中发现的。漏洞种类繁多,包括未经授权的文件访问和操作、XSS、CSRF、SSRF、IDOR、安全绕过、DoS、SQL注入以及与密码相关的问题,这些漏洞可被利用执行远程代码、获取敏感信息或造成中断。其中一些漏洞可被远程未经身份验证的攻击者利用,从而完全控制目标系统。这些漏洞可让攻击者篡改照明、暖通空调系统、水压、门禁、传感器和工业控制系统。
Krstic在2024年春季向ABB报告了这些问题。ABB最近发布了补丁和公告,并建议客户不要将这些系统暴露在互联网上。美国网络安全与基础设施安全局(CISA)也针对Aspect漏洞发布了公告。
原文链接:
https://www.securityweek.com/researcher-says-abb-building-control-products-affected-by-1000-vulnerabilities/
图片泄露位置?Cloudflare CDN被曝存安全漏洞
近日,安全研究员Daniel发现Cloudflare内容分发网络(CDN)中的一个漏洞,该漏洞可能通过在Signal和Discord等平台上向目标受害者发送图像,从而暴露该人的大致位置。虽然这种地理定位攻击的精度不足以进行街道级别的跟踪,但它可以提供足够的数据,推断出一个人所在的地理区域,并监控其活动。对于那些非常关注隐私的人,这一发现尤其令人担忧。
Daniel发现,Cloudflare会将媒体资源缓存在距离用户最近的数据中心,以提高加载时间。如果目标手机或电脑上安装了一个易受攻击的应用程序,攻击者可以发送恶意负载,在几秒钟内就能够去匿名化受害者。研究员只需向受害者发送一张独特的图像,只要该图像托管在Cloudflare的CDN上即可。接下来,他利用Cloudflare Workers中的一个bug,使用一个名为Cloudflare Teleport的自定义工具,强制请求通过特定的数据中心。通常情况下,Cloudflare的默认安全限制不允许任意路由,每个请求都应该从最近的数据中心路由。通过枚举从不同Cloudflare数据中心返回的已缓存响应,研究员可以根据CDN返回的最近机场代码,映射出用户的大致位置。
Cloudflare回应称,这一问题已在2024年12月通过其漏洞奖励计划披露,并对此进行了调查并给予立即解决。
原文链接:
https://www.bleepingcomputer.com/news/security/cloudflare-cdn-flaw-leaks-user-location-data-even-through-secure-chat-apps/
