新的Linux恶意软件sedexp使用Udev规则隐藏信用卡盗刷器

首页 > 宁静研究 > 宁静通报 > 宁静简讯

新的Linux恶意软件sedexp使用Udev规则隐藏信用卡盗刷器

宣布时间 2024-08-27

1. 新的Linux恶意软件sedexp使用Udev规则隐藏信用卡盗刷器

8月25日，网络宁静研究人员发现了一种名为sedexp的新型Linux恶意软件，它由寻求经济利益的威胁行为者设计，接纳了一种奇特的计谋以实现恒久潜伏和隐秘攻击。自2022年起，该高级威胁便隐匿于网络空间，为攻击者提供了反向shell通道和卓越的隐蔽手段。其核心特色在于利用udev规则来维持其在系统内的持久性，这是通过监测系统核心资源如/dev/random的加载来实现，每当系统重启时即自动激活恶意法式。sedexp通过udev的庞大配置，能够在不被察觉的情况下执行恶意操作，并巧妙地修改系统内存，隐藏含有其标识“sedexp”的文件，有效规避了通例检测工具如ls和find的侦查。更为狡猾的是，它已被视察到用于在服务器上隐秘部署信用卡数据窃取代码，凸显了其明确的经济利益导向。Stroz Friedberg事件响应团队指出，在已视察案例中，sedexp不仅隐藏了Web Shell和修改过的Apache配置文件，还自行修改了udev规则，形成了一个闭环的隐蔽系统。这一发现揭示了除勒索软件外，以经济为目的的网络攻击手段正日益庞大化。

https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html

2. 流行Python库Pandas曝宁静漏洞CVE-2024-42992

8月25日，广泛使用的 Python 库pandas中发现了一个宁静漏洞CVE-2024-42992，该漏洞波及所有版本直至最新的2.2.2，其CVSS评分高达7.5，凸显了用户面临的重大风险。鉴于pandas下载量已超5400万次，成为数据处置与分析的核心工具，这一发现尤为令人担忧。此漏洞为任意文件读取漏洞，能让攻击者无限制地访问系统内的任意文件，包罗敏感如Unix系统用户账户信息的“/etc/passwd”文件。其泉源在于pandas在处置文件路径输入时缺乏须要的限制，使得恶意用户能指定任意路径以窃取敏感数据。该漏洞在多个在线环境中易于复现，且其看法验证代码已在GitHub上果然，显著增加了被恶意利用的风险。鉴于pandas的广泛应用，此漏洞对系统机密性和完整性组成了严重威胁，数据泄露和敏感信息未经授权访问的风险骤增。面对尚无官方补丁的现状，用户需立即接纳预防措施，如限制在敏感环境中使用pandas，并加强系统监控与宁静措施，以检测和防御潜在攻击。

https://securityonline.info/critical-flaw-discovered-in-popular-python-library-pandas-no-patch-available-for-cve-2024-42992/

3. Cheana Stealer提倡跨平台VPN钓鱼攻击，窃取用户敏感数据

8月25日，Cyble 研究与情报实验室 ( CRIL ) 发现的最新威胁Cheana Stealer，该恶意工具通过伪装成知名VPN服务WarpVPN的网络钓鱼手段，跨平台攻击Windows、Linux及macOS用户。Cheana Stealer利用精心设计的钓鱼网站诱骗用户下载并安装伪装成合法VPN软件的窃取法式，一旦得手，便悄无声息地收集包罗浏览器密码、加密货币钱包、SSH密钥等敏感数据。针对差异操作系统，Cheana Stealer接纳差异的技术手段：在Windows上，它利用PowerShell执行恶意脚本；Linux版则通过伪装Cloudflare Warp VPN的shell脚本实施攻击；macOS上则利用虚假系统提示窃取Keychain及加密货币钱包信息。值得注意的是，该窃取法式的流传与一个拥有数万订阅者的Telegram频道紧密相关，频道内频繁宣传假冒VPN服务，极大助长了攻击范围。CRIL的研究揭示，攻击者初期提供合法服务以积累信任，随后转向恶意活动，通过Telegram等信誉平台及高度仿真的钓鱼网站，乐成入侵了多个操作系统平台的大量用户系统，凸显了当前网络宁静挑战的严峻性。

https://securityonline.info/cheana-stealer-targets-vpn-users-across-windows-linux-and-macos-in-sophisticated-phishing-campaign/

4. Mirai僵尸网络中发现严重漏洞CVE-2024-45163

8月25日，宁静研究员Jacob Masse揭示了Mirai僵尸网络中的一个严重漏洞CVE-2024-45163（CVSS评分为9.1），该漏洞允许对僵尸网络的CNC服务器进行远程DoS攻击，严重威胁到Mirai僵尸网络的运行。Mirai作为一种污名昭著的恶意软件，自2016年起便侵扰物联网和服务器领域，通过利用弱密码等漏洞控制大量设备，形成庞大的僵尸网络，执行DDoS攻击等恶意活动。Jacob Masse通过深入研究CNC服务器的运作机制，发现了其在处置并发连接请求时的缺陷，特别是在预认证阶段。这一漏洞允许攻击者通过发送大量简单的身份验证请求，使CNC服务器资源耗尽并瓦解，从而瘫痪整个僵尸网络。CVE-2024-45163的披露不仅为执法机构提供了瓦解Mirai僵尸网络的有力工具，也引发了关于道德使用的讨论，因为利用此漏洞可能意外中断合法测试中的僵尸网络。Masse通过PoC演示了漏洞的有效性，展示了在有限资源下即可乐成关闭CNC服务器的场景。此外，他还果然了漏洞代码，促进了网络宁静社区的研究与防御事情。

https://securityonline.info/hacking-the-hacker-researcher-found-critical-flaw-cve-2024-45163-in-mirai-botnet/

5. Magento平台遭网络攻击，盗刷法式窃取支付数据

8月25日，众多接纳Magento平台的在线商店近期遭遇了严重网络攻击，其支付页面被植入恶意代码，导致客户支付卡数据被非法窃取，包罗卡号、有效期及宁静码等重要信息。Malwarebytes专家指出，黑客利用Magento系统漏洞，在支付流程中插入一行脚本，该脚本能远程加载并执行数据窃取操作。数百家店肆已确认受侵，黑客通过自建网站收集被盗数据。此类数字盗刷器极其隐蔽，能够无缝融入正规支付流程，难以被用户察觉。它们在用户输入支付信息时即时捕捉并转发至黑客服务器，甚至在某些情况下，能够绕过第三方支付处置流程直接拦截数据。幸运的是，宁静专家已拦截凌驾1,100次数据窃取实验，通过识别并封锁数十个恶意域名有效停止了部门攻击。然而，受影响的店肆虽已接纳删除恶意代码或暂停运营等措施，但部门网站仍面临连续威胁。此外，数据泄露不仅限于财政信息，还涉及用户的电子邮件、住址及电话号码等个人隐私。因此，用户若发现异常，应立即联系银行更换卡片，并考虑启用身份�；し�。

https://securityonline.info/cyberattack-on-magento-hackers-inject-skimmer-card-data-stolen/

6. Patelco遭RansomHub勒索软件攻击，72.6万客户数据泄露

8月26日，Patelco信用合作社是一家资产超90亿美元的美国非营利性金融服务机构，近期遭遇严重数据泄露事件。今年早些时候，该社受到RansomHub勒索软件攻击，尽管其时未立即确认数据泄露，但随后视察揭示，攻击者于5月23日潜入网络，并于6月29日访问数据库，窃取了大量客户个人信息。这些敏感信息包罗姓名、社会宁静号码、驾驶执照号码、出生日期及电子邮件等，与RansomHub团伙在8月15日于其勒索网站上宣布的数据一致，该团伙声称在谈判未果后果然了数据。此次事件波及Patelco的726,000名客户。为应对此次�；�，Patelco已向受影响的客户发送数据泄露通知，并提供通过Experian注册两年免费身份�；ず托庞眉嗫胤竦难∠�，截止日期为11月19日。同时，该社在其网站显著位置宣布警告，提醒会员警惕网络钓鱼、社会工程及诈骗风险，强调官方绝不会直接索取卡详情等敏感信息。

https://www.bleepingcomputer.com/news/security/patelco-notifies-726-000-customers-of-ransomware-data-breach/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究