Mirai僵尸网络利用NVR、TP-Link 路由器中的漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Mirai僵尸网络利用NVR、TP-Link 路由器中的漏洞

宣布时间 2024-12-25

1. Mirai僵尸网络利用NVR、TP-Link 路由器中的漏洞

12月24日，一种新的基于Mirai的僵尸网络正在利用尚未收到跟踪器编号且未在DigiEver DS-2105 Pro NVR中修补的远程代码执行漏洞。该活动始于10月，主要针对网络录像机和固件过时的TP-Link路由器。TXOne研究员Ta-Lun Yen去年在DefCamp宁静会议上展示了其中一个漏洞，影响了多台DVR设备。Akamai的研究人员视察到，尽管该僵尸网络在11月中旬开始利用此漏洞，但证据表明其活动至少从9月已开始。除了DigiEver漏洞，新的Mirai变种还针对TP-Link的CVE-2023-1389漏洞和Teltonika RUT9XX路由器的CVE-2018-17532漏洞。针对DigiEver NVR的攻击通过远程代码执行缺陷实现，黑客利用未正确验证用户输入的URI注入命令，从而获取恶意软件二进制文件并将设备纳入僵尸网络。一旦设备被攻击，就会用于漫衍式拒绝服务攻击或流传到其他设备。新的Mirai变种接纳XOR和ChaCha20加密，支持多种系统架构。Akamai指出，尽管庞大解密要领不新鲜，但显示Mirai僵尸网络运营商在计谋和技术上不停进步。

https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/

2. Clop勒索软件团伙利用Cleo零日漏洞提倡新勒索攻势

12月24日，Clop勒索软件团伙近期对其Cleo数据偷窃攻击的受害者发出了勒索通知，要求66家公司在48小时内响应其要求，否则将披露这些公司的全名。Clop通过暗网门户直接联系这些公司，并提供宁静聊天频道链接和电子邮件地址进行赎金支付谈判。此次攻击利用了Cleo LexiCom、VLTransfer和Harmony产物中的零日漏洞（CVE-2024-50623），允许远程攻击者执行不受限制的文件上传和下载，导致远程代码执行。Clop过去也曾利用其他平台的零日漏洞访问公司网络。供应商已提供修复法式，但警告称黑客可能利用该修复法式在受熏染的网络上打开反向shell。Clop还宣布将删除以前攻击的数据，以专注于新一轮的勒索活动。目前尚不清楚具体有几多公司受到了Clop最新攻击的威胁，但Cleo软件已被全球凌驾4000家组织使用。

https://www.bleepingcomputer.com/news/security/clop-ransomware-is-now-extorting-66-cleo-data-theft-victims/

3. Postman Workspaces泄露30000个API密钥和敏感令牌

12月24日，CloudSEK的TRIAD团队发现，因滥用Postman Workspaces，大量敏感数据面临泄露风险。在为期一年的视察中，研究人员发现凌驾30,000个可果然访问的Postman Workspaces泄露了API密钥、令牌和管理员凭据等敏感信息，涉及GitHub、Slack和Salesforce等平台，影响了包罗医疗保健、运动服装和金融服务在内的多个行业。泄露的原因主要包罗访问配置错误、纯文本存储以及收藏品的果然共享。CloudSEK指出，这些泄露可能导致数据泄露、未经授权的系统访问以及网络钓鱼和社会工程攻击的增加。为确保数据宁静，组织应使用环境变量、轮换令牌、接纳秘密管理工具等措施。CloudSEK已向受影响的组织陈诉了大多数事件，并敦促组织接纳更可靠的宁静措施。此外，Postman也实施了秘密�；ふ�，以防止敏感数据在公共事情区中袒露。

https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/

4. 欧洲航天局官方商店遭黑客攻击，窃取客户支付信息

12月24日，欧洲航天局的官方网上商店近期遭到黑客攻击，黑客通过加载一段JavaScript代码，在结账时生成一个虚假的Stripe支付页面，从而收集客户信息，包罗支付卡数据。欧洲航天局（ESA）的预算凌驾100亿欧元，其使命是通过培训宇航员以及建造用于探索宇宙秘密的火箭和卫星来扩展太空活动的极限。该商店目前无法使用，并显示“暂时脱离轨道”的消息。电子商务宁静公司Sansec注意到了这一恶意脚本，并警告称该商店似乎与欧洲航天局（ESA）系统集成，可能对员工组成风险。同时，网络应用宁静公司Source Defense Research也证实了Sansec的视察结果。在被BleepingComputer询问有关此次入侵的详细信息时，ESA体现该商店并不托管在其基础设施上，也不管理其上的数据。通过whois查询可以确认，该商店的域名和联系数据与ESA的官方域名差异，且联系数据已被删除以�；ひ�。

https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/

5. PyPI现恶意Python软件包窃取用户数据

12月24日，Fortinet FortiGuard Lab的AI检测系统近期发现了两个在Python软件包索引(PyPI)上的恶意Python软件包：Zebo-0.1.0和Cometlogger-0.1。这些恶意软件通过键盘记录、截图和信息泄露等手段窃取用户敏感数据，并利用混淆技术逃避检测。Zebo-0.1.0利用pynput和ImageGrab等库记录按键和截取屏幕截图，将敏感信息泄露到远程服务器，并在系统重启时重新执行以确保持久控制。Cometlogger-0.1则专注于信息窃取和持久存在，针对多个社交平台窃取令牌、密码和帐户信息，并接纳反虚拟机检测技术和动态文件修改功效。这些恶意软件包对所有可以安装PyPI软件包的平台组成重大隐私和宁静风险，防范这些威胁需要断开互联网连接、隔离受熏染系统、使用防病毒软件以及在须要时重新格式化系统。PyPI的便利性陪同着风险，开发人员需要保持警惕，制止安装恶意软件包。

https://hackread.com/python-malware-zebo-cometlogger-stealing-user-data/

6. 朝鲜黑客攻击DMM Bitcoin，窃取3.08亿美元加密货币

12月24日，朝鲜黑客组织“TraderTraitor”（也被追踪为Jade Sleet、UNC4899和Slow Pisces）在今年5月对日本DMM Bitcoin交易所提倡攻击，乐成窃取了价值3.08亿美元的加密货币。此次攻击始于3月下旬，黑客伪装成LinkedIn上的合法招聘人员，接触并诱导日本企业加密货币钱包软件公司Ginco的一名员工下载并执行恶意Python代码，进而渗透到Ginco并横向移动到DMM。FBI指出，攻击者利用会话cookie信息冒充受熏染员工，获取Ginco未加密通信系统的访问权限，并最终在5月下旬利用DMM员工的合法交易请求，导致巨额损失。自2022年以来，TraderTraitor一直活跃于区块链领域，使用虚假应用法式进行社会工程攻击，美国政府一直在密切监视其活动。

https://www.bleepingcomputer.com/news/security/fbi-links-north-korean-hackers-to-308-million-crypto-heist/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究