Marko Polo黑客组织:全球数万设备遭大规模网络攻击

宣布时间 2024-09-20
1. Marko Polo黑客组织:全球数万设备遭大规模网络攻击


9月19日,Recorded Future 及其子公司 Insikt Group 揭示了由黑客组织 Marko Polo 筹谋的大规模网络攻击,该组织以加密货币欺诈和在线游戏诈骗闻名,其活动波及全球数万设备 。Marko Polo 精准锁定知名游戏玩家、加密货币影响者及 IT 专业人士,利用社交媒体伪装招聘人员,诱骗受害者下载恶意软件 。该团伙被喻为金钱驱动的“贩毒团伙”,成员横跨俄罗斯、乌克兰及英语国家,领导层疑似位于后苏联地域 。其手法多样,不仅入侵 Zoom 视频会议软件版本,还渗透商业软件、BitTorrent 文件分发系统,伪装成种种热门应用和游戏,如 PartyWorld 模仿 Fortnite,实则下载信息窃取法式 。Nortex 活动则通过假 Web3 项目 SendingMe 流传木马 。Marko Polo 攻击已致大量个人与公司数据泄露,非法获利数百万美元,受害者甚至失去全部积蓄 。该组织灵活多变,频繁调整计谋以规避检测,连续威胁网络宁静,并预示其将不停升级手法以逾越现有防护体系 。


https://securityonline.info/unmasking-marko-polo-the-infostealer-gang-targeting-thousands/


2. CISA警告Apache HugeGraph-Server漏洞遭积极利用


9月19日,美国网络宁静和基础设施局(CISA)紧急更新了其已知利用漏洞(KEV)目录,其中最为严重的是Apache HugeGraph-Server的远程代码执行(RCE)漏洞(CVE-2024-27348),其CVSS v3.1评分高达9.8,表明其潜在危害极大 。此漏洞源于不妥的访问控制,影响Apache HugeGraph-Server 1.0.0至1.2.x版本,但1.3.0版本已宣布修复 。Apache官方于4月22日宣布了1.3.0版本以应对此宁静威胁,并建议用户升级至最新版本,同时启用Java 11和Auth系统以增强宁静性 。此外,为进一步提升RESTful-API的宁静性,启用“白名单IP/端口”功效也被视为重要措施之一,以阻断潜在的攻击路径 。鉴于CVE-2024-27348已在野外被积极利用,CISA向联邦机构及要害基础设施组织发出警告,要求这些组织务必在2024年10月9日前接纳须要的缓解措施或停止使用受影响的HugeGraph-Server版本 。Apache HugeGraph-Server作为开源图形数据库的核心组件,广泛应用于电信、金融服务和社交网络等领域,迅速应用宁静更新和接纳缓解措施对于� ;び没莺拖低衬仓凉刂匾� 。


https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/


3. Vice Society利用勒索软件攻击美国医疗保健行业


9月20日,Inc勒索软件近期在美国医疗保健领域兴起,成为新的威胁焦点 。微软威胁情报中心(MSTIC)揭示,自2022年7月以来一直活跃的Vice Society(或称Vanilla Tempest)组织,现接纳Inc勒索软件作为其攻击武器之一,扩大了其双重勒索计谋的范围 。该组织利用多种勒索软件家族,包罗Inc、BlackCat等,针对包罗医疗保健在内的多个行业进行攻击 。Vice Society通过熏染Gootloader后门法式等开端手段获得访问权限,随后利用Supper后门、AnyDesk远程管理工具及MEGA数据同步工具等合法商业产物进行横向移动,最终投放Inc勒索软件 。该组织精心筹谋的谈判计谋和结构化的操作方式,使得其勒索活动更为专业和难以应对 。因此,加强医疗保健组织的宁静防御,及时应用宁静更新和缓解措施,对于防范此类勒索软件攻击至关重要 。


https://www.darkreading.com/threat-intelligence/vice-society-inc-ransomware-healthcare-attack


4. 戴尔10,863份员工记录遭黑客泄露


9月19日,黑客“grep”在黑客论坛Breach Forums上声称,科技巨头戴尔遭遇了“轻微”数据泄露,涉及10,863份员工记录 。此次泄露的数据包罗员工的全名、ID、活跃状态、DNO及内部ID等敏感信息,尽管未包罗明文密码或个人身份信息(PII),但仍对戴尔组成重大宁静威胁 。戴尔此次事件并非孤例,今年早些时候也曾曝出另一起涉及4900万条客户记录的数据泄露 。这再次凸显了大型科技公司面临的连续网络宁静挑战 。尽管戴尔尚未正式确认此次员工记录泄露事件,但宁静专家警告称,泄露的信息可能被用于筹谋更有针对性的网络攻击 。组织需加强宁静措施,包罗接纳先进的威胁检测系统和定期进行宁静审计,以� ;っ舾惺莺驮惫ば畔� 。同时,及时响应事件并与受影响人员保持透明相同,对于减轻潜在损害至关重要 。这一系列事件强调了网络宁静防护的迫切性和庞大性 。


https://hackread.com/hacker-dell-data-breach-employee-details-leak/


5. FOUNDATION会计软件遭渗透攻击,建筑行业面临新威胁


9月19日,Huntress 网络宁静公司最新揭露,建筑行业正面临来自威胁行为者的新一波攻击,这些攻击者通过渗透 FOUNDATION 会计软件实施 。攻击者利用软件的默认凭证,通过大规模暴力破解手段轻易获取访问权限 。受影响的子行业广泛,包罗管道、暖通空调、混凝土等要害领域 。FOUNDATION 软件依赖 Microsoft SQL 服务器,并可能开放 TCP 端口 4243 以支持移动应用直接访问数据库,这为攻击者提供了可乘之机 。尤为严重的是,该软件内置的“sa”和“dba”高权限账户常保留默认密码,使得攻击者能轻易利用 xp_cmdshell 扩展存储过程执行任意操作系统命令,从而完全控制受影响的系统 。自2024年9月14日首次发现以来,Huntress 监测到对 MS SQL 服务器的暴力登录实验高达35,000次,乐成袒露了其� ;さ�500台运行 FOUNDATION 软件主机中的33台 。为应对此威胁,Huntress 建议立即轮换默认账户密码,限制应用法式对互联网的果然访问,并在须要时禁用 xp_cmdshell 功效,以有效减轻潜在风险,� ;そㄖ幸档耐缒� 。


https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html


6. 加密货币劫持团伙TeamTNT卷土重来


9月19日,尽管TeamTNT组织在2022年被认为已消失,但宁静研究领域的最新发现揭示了该威胁行为者在2023年仍在活动的迹象 。TeamTNT以其加密劫持攻击闻名,通过利用受害者的IT资源非法挖掘加密货币 。自2019年首次露面以来,该组织就因其庞大的Shell脚本和恶意二进制文件工具包制作的恶意软件而污名昭著 。最新陈诉指出,TeamTNT的战术、技术和法式(TTP)与去年活动相似,且已影响基于CentOS操作系统的VPS云基础设施 。据Group-IB分析,TeamTNT通过SSH暴力攻击进入受害者系统,上传并执行恶意脚本,该脚本不仅检查主机是否已被其他矿工入侵,还禁用宁静功效、删除日志、修改系统文件,并终止现有加密货币挖掘进程 。更进一步,该脚本安装Diamorphine rootkit以实现隐身和获取root权限,并使用定制工具保持对系统的持久控制 。其计谋包罗修改文件属性、创建后门用户账户及清除命令历史,以全面隐藏活动痕迹 。此次发现凸显了TeamTNT在自动化攻击领域的高明技艺,其攻击计谋从初始入侵到防止恢复实验的每个环节都经过精心设计,旨在给受害者带来严重损害 。


https://www.infosecurity-magazine.com/news/cryptojacking-gang-teamtnt-comeback/