导 读
Lumen Technologies 的威胁情报分析师发现一个由 40,000 个僵尸网络组成的强大僵尸网络集群,其中充满了用于网络犯罪活动的报废路由器和物联网设备。
根据 Lumen Black Lotus Labs 的最新报告(https://blog.lumen.com/the-darkside-of-themoon/),一个臭名昭著的网络犯罪组织一直在针对世界各地的报废小型家庭/小型办公室 (SOHO) 路由器和物联网设备开展多年攻击活动。
研究人员警告说,该路由器僵尸网络于 2014 年首次出现,一直在悄悄运行,同时在 2024 年 1 月和 2 月增长到来自 88 个国家的 40,000 多个僵尸网络。
“这些机器人中的大多数都被用作臭名昭著的、针对网络犯罪的代理服务的基础,该服务被称为 Faceless。我们最新的跟踪显示,[僵尸网络] 使 Faceless 的新用户数量以每周近 7,000 个的速度增长。”
Black Lotus Labs 的研究人员表示,他们确定了该组织代理服务的逻辑图,其中包括 2024 年 3 月第一周开始的一项活动,该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。
研究人员指出,据观察,基于 SOHO/IoT 的活动集群每周与数以万计的不同 IP 地址进行通信。Black Lotus Labs 团队表示:“我们的分析表明,该僵尸网络背后的运营商正在将受感染的报废 (EoL) 设备注册到名为 Faceless 的代理服务中。”该服务已成为“一项强大的代理服务,从“iSocks”匿名服务的废墟中诞生,已成为网络犯罪分子混淆其活动的不可或缺的工具。”
研究人员认为,全球范围内针对报废物联网设备的攻击是故意的,因为它们不再受到制造商的支持,而且已知的安全漏洞也没有得到修补。
研究人员警告说:“此类设备有时也有可能被遗忘或遗弃。”
Black Lotus Labs 的研究人员建议企业网络防御者寻找针对弱凭据和可疑登录尝试的攻击,即使这些攻击源自绕过地理围栏和基于 ASN 的阻止住宅 IP 地址。
安全从业人员还应该保护云资产免遭与试图执行密码喷洒攻击的BOT进行通信,并开始使用 Web 应用程序防火墙阻止 IoC。
参考链接:https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯 APT29 黑客被发现针对德国政党
https://www.securityweek.com/russian-apt29-hackers-caught-targeting-german-political-parties/
黑客利用 ScreenConnect、F5 漏洞攻击国防和政府实体
https://therecord.media/chinese-government-hacker-exploiting-bugs-to-target-defense-government-sectors
与沙虫有关的黑客组织可能会击垮乌克兰互联网提供商
https://therecord.media/ukraine-isps-attacks-solntsepek-sandworm-gru
德国政党成为俄罗斯网络间谍的最新目标
https://therecord.media/german-political-parties-russia-espionage-svr
与伊朗相关的 MuddyWater 部署 Atera 来监控网络钓鱼攻击
https://thehackernews.com/2024/03/iran-linked-muddywater-deploys-atera.html
联合国组织调查朝鲜涉嫌盗窃 58 起加密货币,价值 30 亿美元
https://therecord.media/north-korea-cryptocurrency-hacks-un-experts
与朝鲜有关的 Kimsuky 组织在持续的网络攻击中使用 HTML 帮助文件载体
https://thehackernews.com/2024/03/n-korea-linked-kimsuky-shifts-to.html
一般威胁事件
General Threat Incidents
卡巴斯基发现针对东南亚企业的金融网络钓鱼激增
https://backendnews.net/kaspersky-finds-surge-in-financial-phishing-against-businesses-in-sea/
新的绕过 MFA 的网络钓鱼工具包针对 Microsoft 365、Gmail 帐户
https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/
研究人员称,数千家使用开源人工智能Ray 框架的公司面临网络攻击
https://therecord.media/thousands-exposed-to-ray-framework-vulnerability
与工业间谍活动相关的恶意 NuGet 软件包以开发人员为目标
https://thehackernews.com/2024/03/malicious-nuget-package-linked-to.html
研究人员发现 40,000 个强大的 EOL 路由器、物联网僵尸网络
https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/
漏洞事件
Vulnerability Incidents
Apple 修补了 iOS、macOS 中的代码执行漏洞
https://www.securityweek.com/apple-patches-code-execution-vulnerability-in-ios-macos/
Kubernetes RCE 漏洞允许远程执行代码
https://securityboulevard.com/2024/03/kubernetes-rce-vulnerability-allows-remote-code-execution/
美国政府敦促软件制造商消除 SQL 注入漏洞
https://www.securityweek.com/us-government-urges-software-makers-to-eliminate-sql-injection-vulnerabilities/
CVE-2023-48788 是 Fortinet 的 FortiClient EMS 产品中的一个严重 SQL 注入漏洞,正在被广泛利用
https://www.securityweek.com/recent-fortinet-forticlient-ems-vulnerability-exploited-in-attacks/
ZenHammer 攻击针对采用 AMD CPU 的系统上的 DRAM
https://www.securityweek.com/zenhammer-attack-targets-dram-on-systems-with-amd-cpus/
讲述普通人能听懂的安全故事