SonicWall SSLVPN 设备严重漏洞曝光:超25,000台设备易受攻击

宣布时间 2024-12-19

1. SonicWall SSLVPN 设备严重漏洞曝光:超25,000台设备易受攻击


12月17日,网络宁静公司Bishop Fox的分析揭示,凌驾25,000台可果然访问的SonicWall SSLVPN设备存在重大宁静隐患,其中20,000台设备运行着供应商不再支持的SonicOS/OSX固件版本。这些设备容易遭受勒索软件组织如Fog和Akira的攻击,成为其入侵公司网络的入口。通过扫描工具,Bishop Fox发现了430,363个果然袒露的SonicWall防火墙,管理或SSL VPN接口可从互联网访问,为攻击者提供了探测漏洞、过时固件、错误配置和破解弱密码的机会。其中,6,633台设备已到达使用寿命,另有14,077台使用Series 6的不再受支持版本,共20,710台易受果然漏洞攻击。此外,还有大量设备运行着未知版本或不受支持的固件。虽然相比2024年1月,易受攻击的端点数量有所下降,但补丁接纳速度仍然缓慢,显示出网络宁静形势依然严峻。


https://www.bleepingcomputer.com/news/security/over-25-000-sonicwall-vpn-firewalls-exposed-to-critical-flaws/


2. 纳米比亚电信遭勒索软件攻击,敏感数据泄露


12月17日,纳米比亚国有电信公司近期遭受了勒索软件攻击,导致近50万条敏感客户数据被泄露,其中包罗高级政府官员的信息。在拒绝与黑客组织“猎人国际”合作后,黑客将这些数据宣布到了暗网上。纳米比亚电信公司正在视察此次大规模系统入侵的原因,并正与宁静官员合作,以减少进一步的信息泄露并追捕罪犯。即将卸任的总统南戈洛·姆本巴对此次网络攻击体现谴责,并呼吁以应有的紧迫性处置此事,指出网络宁静是国家宁静问题。据纳米比亚电信公司首席执行官斯坦利·沙纳平达体现,公司不会与黑客就赎金进行谈判,因为赎金数额过高且支付赎金也不能保证信息不被泄露。此次攻击中,黑客窃取了包罗个人身份信息、地址和银行信息等在内的敏感客户记录,并在社交媒体上分享。纳米比亚电信公司警告人们不要分享任何泄露的信息,并敦促客户更改密码,制止在可疑情况下进行转账。


https://www.capitalfm.co.ke/news/2024/12/sensitive-data-leaked-after-namibia-ransomware-hack/


3. 网络钓鱼诈骗新手段:滥用Google日历和绘图页面窃取凭证


12月18日,近期网络钓鱼诈骗活动频繁,非法分子利用Google日历邀请和Google绘图页面作为工具,企图窃取用户凭证,并乐成绕过了垃圾邮件过滤器。据网络宁静监控机构Check Point陈诉,短短四周内,已有300个品牌遭受攻击,凌驾4,000封钓鱼邮件被发送。这些邮件的目标广泛,包罗教育机构、医疗机构、建筑公司和银行等。攻击手法主要是通过Google日历发送看似无害的会议邀请,邀请中嵌入指向Google Forms或Google Drawing的链接,诱导用户点击伪装成reCaptcha或支持按钮的另一个链接。由于这些邀请来自合法的Google服务,因此能够绕过垃圾邮件过滤器。Check Point指出,攻击者利用了Google日历服务,使得邮件标题看起来完全合法,与正常Google日历邀请无异,并通过了DKIM、SPF和DMARC等电子邮件宁静检查。此外,攻击者还会取消Google日历活动并附加消息,以增加钓鱼邮件的发送量。尽管Google曾推出掩护措施,但若Google Workspace管理员未启用,日历中仍会自动添加此类邀请。


https://www.bleepingcomputer.com/news/security/ongoing-phishing-attack-abuses-google-calendar-to-bypass-spam-filters/


4. APT29黑客组织利用193个RDP署理服务器执行MiTM攻击


12月18日,俄罗斯黑客组织APT29(又称“午夜暴雪”)正利用由193个远程桌面协议(RDP)署理服务器组成的网络执行中间人(MiTM)攻击,旨在窃取数据、凭据并安装恶意负载。该组织使用PyRDP红队署理工具,通过RDP协议扫描受害者文件系统、窃取数据并在远程执行恶意法式。据趋势科技(Trend Micro)陈诉,APT29的目标包罗政府、军事、外交、IT、云服务、电信及网络宁静公司等,特别针对美国、法国、澳大利亚等多个国家的实体。2024年10月,亚马逊和CERT-UA宣布的陈诉显示,APT29诱骗受害者通过网络钓鱼邮件连接到恶意RDP服务器,共享当地资源,从而无条件访问敏感信息。趋势科技的最新研究揭示了193个RDP署理服务器将连接重定向至34个后端服务器,使攻击者能监视和拦截RDP会话。黑客利用PyRDP工具拦截受害者与远程会话间的通信,记录凭据、窃取数据并在新连接上运行恶意命令。此外,APT29还接纳商业VPN、TOR出口节点和住宅署理服务掩盖恶意服务器IP地址。为防范此类攻击,用户应仅与已知、受信任的服务器建立RDP连接,并警惕来自未知来源的RDP连接请求。


https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/


5. 网络钓鱼活动滥用HubSpot窃取20,000 Azure帐户凭据


12月18日,针对德国和英国的汽车、化学及工业制造公司,一场网络钓鱼活动正在利用HubSpot平台窃取Microsoft Azure帐户凭据。据Palo Alto Networks的Unit 42研究团队陈诉,该活动自2024年6月起至少连续至9月,已危及约20,000个账户。威胁行为者通过HubSpot Free Form Builder创建欺骗性表格,并利用模仿DocuSign的PDF将受害者重定向至凭证收集页面。这些页面位于攻击者控制的“.buzz”域名网站上,模仿Microsoft Outlook Web App和Azure登录界面。尽管HubSpot基础设施未受攻击,但其被用作中间步骤引导受害者。由于邮件包罗合法服务链接,它们常能避开宁静工具检测进入收件箱。然而,相关邮件未通过SPF、DKIM和DMARC检查。在乐成入侵后,威胁行为者使用VPN伪装地理位置,并与IT部门争夺账户控制权。Unit 42还发现了该活动中使用的新型自治系统编号和用户署理字符串,可用于威胁识别。尽管多数服务器已下线,但该活动再次表明威胁行为者正不停探索绕过宁静的新要领。


https://www.bleepingcomputer.com/news/security/hubspot-phishing-targets-20-000-microsoft-azure-accounts/


6. 内布拉斯加州Regional Care医疗保险公司数据泄露


12月18日,内布拉斯加州医疗保险公司Regional Care近期披露了一起数据泄露事件,该事件影响了凌驾225,000人。2024年9月中旬,Regional Care发现其网络中的一个账户泛起异常活动,并立即关闭了该账户。经过网络宁静专家的视察,确认“未经授权的一方”可能从其系统中获取了一些文件。11月8日,该公司确定部门受损文件包罗敏感个人信息,如姓名、出生日期、社会宁静号码、医疗信息和健康保险信息等。针对社会保障号码被泄露的个人,Regional Care提供了免费的信用监控服务。该事件已被通报给缅因州总检察长办公室。截至目前,该保险公司尚未分享更多关于此次入侵的信息,且SecurityWeek也未发现任何已知的勒索软件组织声称对此次攻击卖力。


https://www.securityweek.com/regional-care-data-breach-impacts-225000-people/