国家网络安全通报中心风险提示:重点防范境外恶意网址和恶意IP;思科临时关闭DevHub门户网站,启动全面安全审查 | 牛览
作者: 日期:2024年10月23日 阅:2,972

新闻速览

•国家网络安全通报中心风险提示:重点防范境外恶意网址和恶意IP

•国家数据局就《可信数据空间发展行动计划(2024—2028年)》公开征求意见

•互联网档案馆再遭黑客入侵,80万用户支持记录恐遭窃取

•思科临时关闭DevHub门户网站,启动全面安全审查

•微软反钓鱼新招:以虚假Azure租户作为蜜罐引诱黑客入局

•F5企业级产品曝安全隐患,两个重要漏洞引发关注

•“HM Surf”漏洞威胁macOS用户隐私,可绕过TCC窃取敏感数据

•VMware紧急修复HCX平台SQL注入漏洞

特别关注

国家网络安全通报中心风险提示:重点防范境外恶意网址和恶意IP

10月21日,中国国家网络与信息安全信息通报中心通过官方微信号发布风险提示,要求我国各企业组织和单位重点防范境外恶意网址和恶意IP。中心发现,一批境外恶意网址和恶意IP,有多个具有某大国政府背景的境外黑客组织,利用这些网址和IP持续对我国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等,以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的,对我国联网单位和互联网用户构成重大威胁,部分活动已涉嫌刑事犯罪。主要情况如下:

一、恶意地址信息

  1. 恶意地址:j.foxnointel.ru

关联IP地址:172.235.51.77  

归属地:美国/加利福尼亚州/洛杉矶

威胁类型:僵尸网络

病毒家族:fodcha

描述:这是一种DDoS僵尸网络木马,通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”(联网终端)对互联网上的其它系统或设备发起DDoS攻击,导致关键信息基础设施或重要网络应用瘫痪,干扰破坏国计民生和社会公共秩序。

2. 恶意地址:a.foxnointel.ru

关联IP地址:92.223.30.136  

归属地:美国/加利福尼亚州/洛杉矶

威胁类型:僵尸网络

病毒家族:fodcha

描述:这是一种DDoS僵尸网络木马,通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”(联网终端)对互联网上的其它系统或设备发起DDoS攻击,导致关键信息基础设施或重要网络应用瘫痪,干扰破坏国计民生和社会公共秩序。

3. 恶意地址:93.157.106.238

归属地:保加利亚/索非亚州/索非亚

威胁类型:僵尸网络

病毒家族:mirai

描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDos)攻击。

4. 恶意地址:LOADINGBOATS.DYN

关联IP地址:89.36.160.67  

归属地:波兰/马佐夫舍省/华沙

威胁类型:僵尸网络

病毒家族:catddos

描述:Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播,已公开样本包括CVE-2023-46604、CVE-2021-22205等,该恶意地址是相关病毒家族近期有效活跃的回连地址。

5. 恶意地址:95.214.27.194

归属地:荷兰/北荷兰省/阿姆斯特丹

威胁类型:僵尸网络

病毒家族:moobot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起分布式拒绝服务(DDos)攻击。

6. 恶意地址:dovahnoh1.duckdns.org

关联IP地址:88.227.180.194   

归属地:土耳其/阿达纳省/塞伊汉

威胁类型:网络后门

病毒家族:Asyncrat

描述:该恶意地址关联多个Asyncrat病毒家族样本,部分样本的MD5值为0afe92d70093444605979eafa2afca4d和24d5b4b63fe3f30c9a399f0c76196104。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。该木马通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。

7. 恶意地址:134.122.138.230:7021

归属地:日本/东京都/东京

威胁类型:网络后门

病毒家族:SilverFox

描述:该恶意地址关联SilverFox病毒家族样本,其MD5值为bfc4b93fade57ead4fa15d37aef94760,相关样本通过钓鱼邮件进行传播,经变种伪装成企业内部应用软件诱骗用户下载点击。    

二、排查方法

(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息。

(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网络和IP发起通信的设备网上活动痕迹。

(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。

三、处置建议

(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。

(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。

(三)向有关部门及时报告,配合开展现场调查和技术溯源。

原文链接:

https://mp.weixin.qq.com/s/uYVx7bAP7Oqey-DeSUjZJA

国家数据局就《可信数据空间发展行动计划(2024—2028年)》公开征求意见

为贯彻落实党的二十届三中全会决策部署,引导和支持可信数据空间发展,促进数据要素合规高效流通使用,加快构建以数据为关键要素的数字经济,国家数据局研究起草了《可信数据空间发展行动计划(2024—2028年)》,现向社会公开征求意见。

此次征求意见的时间是2024年10月18日至10月27日。欢迎社会各界人士提出意见,请通过电子邮件方式将意见发送至shjkj2024@163.com。

访问以下链接,可阅读完整版《可信数据空间发展行动计划(2024—2028年)》(征求意见稿)

原文链接:

https://mp.weixin.qq.com/s/AeejoraZiqtFRaK9mo2_jw

网络攻击

互联网档案馆再遭黑客入侵,80万用户支持记录恐遭窃取

近日,互联网档案馆(Internet Archive)再次成为黑客攻击的目标,这次攻击涉及其Zendesk邮件支持平台。据悉,攻击者利用了此前从GitLab认证令牌中窃取的访问权限。攻击者表示,尽管互联网档案馆几周前就意识到入侵,但仍未及时更换在GitLab秘密中暴露的多个API密钥。其中包括一个Zendesk令牌,该令牌可访问自2018年以来发送至info@archive.org的超过80万个支持票据。

令人担忧的是,一些用户在请求从“时光机”(Wayback Machine)中删除页面时,曾被要求上传个人身份证明。鉴于攻击者可能获得了Zendesk API的访问权限,这些敏感信息可能已落入不法之手。

专业媒体BleepingComputer此前多次试图警告互联网档案馆,其源代码已通过一个在线暴露近两年的GitLab认证令牌被盗。该令牌至少自2022年12月起就已暴露,此后虽经多次更换,但仍未能阻止黑客入侵。攻击者声称已从互联网档案馆窃取了7TB数据,包括用户数据库、源代码等敏感信息。

互联网档案馆作为一个重要的数字文化遗产保存机构,连续发生安全事件敲响了及时更新安全凭证的警钟。

原文链接:

https://www.bleepingcomputer.com/news/security/internet-archive-breached-again-through-stolen-access-tokens/

思科临时关闭DevHub门户网站,启动全面安全审查

近日,思科(Cisco)宣布,为了全面调查潜在的网络安全事件,将暂时关闭其公共开发者门户网站DevHub。这一决定是在10月18日做出的,源于有报告称未经授权的行为者声称获取了某些思科数据和客户信息。

DevHub作为思科客户的重要资源中心,主要提供软件代码和脚本供客户使用。此前有黑客声称成功入侵了思科系统,并试图出售被盗数据和源代码。据报道,黑客通过暴露的API令牌访问了思科的第三方开发者环境,引发了外界对该公司开发资源安全性的担忧。

思科坚称没有敏感个人信息或财务数据遭到泄露,他们继续深入调查旨在确认潜在数据暴露的具体范围。作为调查的一部分,思科已禁用对DevHub网站的公共访问,并与执法部门展开合作,以协助处理此事。思科承诺,如果确定未经授权的行为者获取了客户的机密信息,将直接通知受影响的客户。同时,公司已敦促有疑虑的客户联系其产品安全事件响应团队,邮箱为PSIRT@cisco.com。

原文链接:

https://cybersecuritynews.com/cisco-investigating-cyber-security-incident/

微软反钓鱼新招:以虚假Azure租户作为蜜罐引诱黑客入局

近日,微软首席安全软件工程师Ross Bevington在BSides Exeter会议上披露了公司正在采用的一项创新的反网络钓鱼策略。这项策略利用欺骗技术,通过创建虚假但看似真实的Azure租户环境来引诱网络钓鱼者上钩,从而收集有关攻击者的情报。

Bevington团队设计的这个“混合高交互蜜罐”系统包含自定义域名、数千个用户账户,以及模拟内部通信和文件共享等活动,以增加其真实性。与传统的被动等待攻击者发现的蜜罐不同,微软采取主动出击的方法。他们会访问已被Microsoft Defender识别的活跃钓鱼网站,并输入蜜罐租户的凭证。这些凭证故意不设置双重身份验证保护,以便攻击者轻松进入。

为了最大化情报收集效果,微软还采取了一些巧妙的策略。例如,当攻击者尝试与环境中的虚假账户互动时,系统会故意放慢响应速度。这种方法使得攻击者在意识到自己进入了虚假环境之前,平均会耗费30天时间。

这种创新的反钓鱼策略不仅帮助微软收集了大量可操作的威胁情报,还能有效绘制恶意基础设施图谱,深入了解复杂的网络钓鱼操作。更重要的是,它能够大规模地破坏攻击活动,识别网络犯罪分子,并显著减缓他们的活动。

原文链接:

https://www.bleepingcomputer.com/news/security/microsoft-creates-fake-azure-tenants-to-pull-phishers-into-honeypots/

安全漏洞

F5企业级产品曝安全隐患,两个重要漏洞引发关注

近日,网络技术公司F5发布安全公告,修复了其企业级产品BIG-IP和BIG-IQ中的两个重要漏洞,编号为CVE-2024-45844和CVE-2024-47139,分别影响BIG-IP和BIG-IQ产品。

CVE-2024-45844是一个高危的权限提升漏洞,存在于BIG-IP产品中。具有管理角色权限或更高权限的已认证攻击者可以通过访问配置工具或TMOS Shell(tmsh)来提升权限,从而危害整个BIG-IP系统。为解决此漏洞,F5发布了版本17.1.1.4、16.1.5和15.1.10.5的更新。在无法立即更新的情况下,F5建议采取临时缓解措施,包括限制对BIG-IP配置工具和SSH的访问,只允许可信网络或设备访问,并阻止通过自有IP地址的访问。

CVE-2024-47139是一个影响BIG-IQ产品的存储型跨站脚本(XSS)漏洞,被评为中等严重性。具有管理员权限的攻击者可以在BIG-IQ用户界面中存储恶意HTML或JavaScript代码,从而以当前登录用户的身份执行JavaScript。在某些情况下,攻击者甚至可能危害BIG-IP系统。F5已在BIG-IQ集中管理版本8.2.0.1和8.3.0中修复了此漏洞,同时F5还建议用户在使用BIG-IQ界面后注销并关闭浏览器,并使用单独的浏览器进行管理操作。

目前,F5表示尚未发现这两个漏洞在实际环境中被利用的案例。

原文链接:

“HM Surf”漏洞威胁macOS用户隐私,可绕过TCC窃取敏感数据

近日,微软研究人员发现了一个严重的macOS安全漏洞,被命名为“HM Surf”(CVE-2024-44133)。该漏洞能够绕过macOS的透明性、同意和控制(TCC)技术,允许攻击者在未经用户授权的情况下访问敏感数据,如摄像头、麦克风、浏览历史和位置信息。

HM Surf漏洞的工作原理是通过移除Safari浏览器目录的TCC保护并修改配置文件,从而获得对用户敏感数据的未授权访问。这一漏洞的严重性在于它不仅能收集敏感信息,还可能被用于恶意目的。微软研究人员表示,他们已观察到该漏洞与Adload(一种流行的macOS恶意广告软件)相关的潜在利用活动。Microsoft Defender for Endpoint的行为监控系统已识别出可疑活动,包括通过HM Surf或其他方法异常修改Preferences文件。

Bambenek Consulting的总裁John Bambenek警告称,这本质上是一种特权升级漏洞,需要在受害者机器上执行恶意指令。他特别提醒家庭用户注意,因为攻击者可能试图捕获受害者处于妥协状态的视频,用于后续敲诈。

针对这一漏洞,苹果公司已在2024年9月发布的macOS Sequoia安全更新中提供了修复程序。同时,苹果还引入了新的API用于应用程序组容器,利用系统完整性策略(SIP)保护配置文件不被外部攻击者修改。安全专家还建议用户启用macOS设备的自动更新功能,以确保及时获取最新的安全补丁。

原文链接:

https://hackread.com/hm-surf-macos-flaw-attackers-access-camera-mic/

VMware紧急修复HCX平台SQL注入漏洞

近日,VMware发布安全公告称,已修复了其HCX(混合云扩展)应用程序迁移平台中一个高危SQL注入漏洞(CVE-2024-38814)。该漏洞允许非管理员用户在HCX管理器上远程执行代码,对系统安全构成严重威胁。

这个已认证的SQL注入漏洞由Summoning Team的安全研究员Sina Kheirkhah通过趋势科技零日计划私下报告给VMware。漏洞的严重性在于,具有非管理员权限的经过身份验证用户可以通过精心构造的SQL查询来利用该缺陷,在HCX管理器上执行未经授权的远程代码。

VMware HCX是一个工作负载移动平台,旨在简化跨数据中心和云的工作负载迁移、重新平衡和连续性。它使组织能够在本地环境和云基础设施之间无缝移动应用程序和虚拟机,而无需停机。这一功能的重要性使得此次漏洞的影响范围更加广泛。受影响的HCX版本包括4.8.x、4.9.x和4.10.x。

鉴于该漏洞的严重性和潜在影响,安全专家建议使用受影响版本HCX的用户尽快升级到修复版本,以防止可能的安全威胁。

原文链接:

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章