黑客利用 Aiohttp 漏洞寻找易受攻击的目标

宣布时间 2024-03-18
1. 黑客利用 Aiohttp 漏洞寻找易受攻击的目标


3月16日,勒索软件攻击者“ShadowSyndicate”正在扫描易受 CVE-2024-23334(aiohttp Python 库中的目录遍历漏洞)影响的服务器 。Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库,用于处置大量并发 HTTP 请求,而无需传统的基于线程的网络 。2024 年 1 月 28 日,aiohttp 宣布了 版本 3.9.2,解决了 CVE-2024-23334,这是一个严重的路径遍历漏洞,影响 3.9.1 及更早版本的所有 aiohttp 版本,允许未经身份验证的远程攻击者访问易受攻击的服务器上的文件 。该缺陷是由于当静态路由的“follow_symlinks”设置为“True”时验证不充实,从而允许未经授权访问服务器静态根目录之外的文件 。ShadowSyndicate 是一个机会主义、 经济动机的威胁行为者,自 2022 年 7 月以来一直活跃,与 Quantum、Nokoyawa、BlackCat/ALPHV、Clop、Royal、Cactus 和 Play 等勒索软件菌株有差异水平的信任 。Group-IB 认为威胁行为者是与多个勒索软件运营机构合作的隶属机构 。


https://www.bleepingcomputer.com/news/security/hackers-exploit-aiohttp-bug-to-find-vulnerable-networks/


2. 法国 TRAVAIL 数据泄露影响 4300 万人


3月16日,法国网络犯罪预防计划进行的视察显示,威胁行为者在 2024 年 2 月 6 日至 3 月 5 日期间窃取了 4300 万人的个人信息 。2023 年 8 月,法国政府就业机构 P?le emploi遭遇数据泄露,并通知了受宁静漏洞影响的 1000 万人 。此次宁静漏洞袒露了受影响个人的姓氏、名字和社会宁静号码 。电子邮件地址、电话号码、密码和财政数据不会被泄露 。该机构建议求职者对任何潜在的欺诈活动保持警惕,该机构还增补说,该机构提供的赔偿和支持以及访问 polo-emploi.fr的个人空间不存在任何风险 。法国政府并未将这次攻击归咎于已知的勒索软件团伙,不外,Bleeping Computer 视察 到,宁静公司Emsisoft 在其 MOVEit页面上列出了该法国政府机构 ,这意味着它很可能是Clop 勒索软件团伙 的受害者 。


https://securityaffairs.com/160556/data-breach/france-travail-data-breach-34m-people.html


3. 黑客声称已经攻破 Viber并窃取了 740GB 数据


3月16日,Handala Hack 在 Telegram 帖子中声称他们窃取了凌驾 740GB 的数据,其中包罗 Viber 的源代码 。该组织要求为被盗信息支付 8 比特币(即 583,000 美元)的赎金 。Viber 是一款消息应用法式,于 2010 年推出,并于 2014 年被日本跨国公司乐天公司以 9 亿美元收购,该应用法式已对黑客的指控做出了回应 。该公司否认有任何入侵其系统或数据泄露的证据,但确认已启动视察以核实是否发生宁静漏洞 。如果得到证实,这可能是近代历史上最大的数据泄露事件之一 。专家认为,这种泄露可能涉及个人消息、通话记录、联系方式和财政信息,可能会对 Viber 用户造成毁灭性攻击 。Handala Hack 是一个有争议的组织,以支持巴勒斯坦事业的以色列实体及其盟友为目标而闻名 。自 2023 年 12 月建立 Telegram 频道并随后加入违规论坛以来,它一直很活跃 。与此同时,Viber 用户应谨慎行事并更改密码,警惕网络钓鱼实验,并通过检查 Viber 的官方渠道随时了解有关涉嫌数据泄露的任何更新 。


https://www.hackread.com/hackers-claim-740gb-of-data-viber-messaging-app/


4. 黑客利用 GitHub 上的破解软件流传 RisePro


3月16日,网络宁静研究人员发现许多 GitHub 存储库提供破解软件,这些软件用于流传名为 RisePro 的信息窃取法式 。据 G DATA 称,该活动代号为gitgub ,包罗与 11 个差异账户相关的 17 个存储库 。今后,相关存储库已被微软旗下子公司删除 。Github 上通常使用绿色和红色圆圈来显示自动构建的状态 。Gitgub 威胁加入者在他们的 README.md 中添加了四个绿色 Unicode 圆圈,假装在当前日期旁边显示状态,并提供合法性和新近度的感受 。RAR 存档要求受害者提供存储库 README.md 文件中提到的密码,其中包罗一个安装法式文件,该文件解压下一阶段的有效负载,这是一个膨胀到 699 MB 的可执行文件,旨在使分析工具瓦解,例如IDA 专业版 。该文件的实际内容(总计仅为 3.43 MB)充当加载法式,将 RisePro(版本 1.6)注入 AppLaunch.exe 或 RegAsm.exe 中 。RisePro 在 2022 年底突然成为人们关注的焦点,其时它使用名为 PrivateLoader 的按安装付费 (PPI) 恶意软件下载服务进行分发 。


https://thehackernews.com/2024/03/hackers-using-cracked-software-on.html


5. 黑客通过武器化 PDF 诱骗用户安装恶意软件


3月16日,在一场庞大的网络攻击活动中,恶意行为者冒充哥伦比亚政府机构,针对拉丁美洲各地的个人进行攻击 。攻击者分发包罗 PDF 附件的电子邮件,错误地指控收件人违反交通规则或其他违法行为 。这些欺骗性通信旨在强迫受害者下载包罗 VBS 脚本的存档,从而启动多阶段熏染过程 。执行后,经过混淆的 VBS 脚本会触发 PowerShell 脚本,通过两步请求过程从合法在线存储服务中检索最终的恶意软件负载 。凭据 ANY.RUN 与 GBHackers 分享的宁静陈诉;最初,脚本从 textbin.net 等资源获取有效负载的地址 。然后,它继续从提供的地址下载并执行有效负载,该有效负载可以托管在种种平台上,包罗 cdn.discordapp(.)com、pasteio(.)com、hidrive.ionos.com 和 wtools.io 。攻击者的执行链遵循从 PDF 到 ZIP,然后到 VBS 和 PowerShell,最后到可执行文件 (EXE) 的顺序 。最终的有效负载被识别为几种已知的远程访问木马 (RAT) 之一,特别是AsyncRAT、njRAT或Remcos 。这些恶意法式因其能够对受熏染系统提供未经授权的远程访问而污名昭著,给受害者的隐私和数据宁静带来重大风险 。


https://gbhackers.com/hackers-trick-users-to-install-malware-via-weaponized-pdf/


6. TikTok被意大利监管机构�?罱�1100万美元


3月16日,凭据该国竞争管理局 (AGCM) 的一份新闻稿,意大利政府周四对 TikTok 处以 1090 万美元�?�,原因是其助长了可能损害用户“心理人身宁静”的视频流传 。这笔�?钍蔷荒晔硬斓慕峁�,一天前美国众议院投票决定有效禁止该平台,国会议员要求该平台字节跳动撤资,否则将被禁止在美国运营 。AGCM 特别关注该平台如何对未成年人和弱势群体发生负面影响,体现对该平台算法的视察部门是为了回应在该应用法式上疯传的所谓“法国疤痕”挑战 。该挑战要求应用法式用户分享面部疤痕的视频,导致许多人皮肤受伤加入其中 。此外,AGCM 体现,该平台的指导目标是不够的,并指出,这些指导目标的应用“没有充实考虑到青少年的具体脆弱性,其特点是特殊的认知机制 。欧盟委员会上个月宣布,已启动视察,以确定 TiKTok 是否因未能验证用户年龄、�;び没б胶头乐褂没ё琶愿糜τ枚シ戳伺分薮舐降氖址穹� (DSA) 。该视察的重点还在于该平台是否通过不透明的广告行为以及未能�;の闯赡耆硕シ戳� DSA 。


https://therecord.media/tiktok-italy-fine-regulator