安全简讯(2025.02.18)
安全简讯(2025.02.18)
启明星辰安全简讯 2025-02-18 08:48
1. 马斯克DOGE计划陷网络安全危机,政府效率部网站遭黑客曝光漏洞
2月14日,科技亿万富翁埃隆·马斯克管理的政府效率部(DOGE)旨在削减联邦开支并提升政府效率,然而,其新创建的DOGE.gov网站却因网络安全措施松懈而面临重大风险。黑客指出,该网站存在严重安全漏洞,任何人都能访问并编辑存储的信息。网站似乎匆忙建成,复制了DOGE的社交媒体帖子及关键统计数据,且数据库公开,允许第三方修改内容并实时显示。据开发人员透露,该网站托管在Cloudflare Pages上,而非政府服务器,数据库API端点可被轻易找到并推送更新。此外,DOGE的另一网站waste.gov也保留了WordPress默认模板和示例文本,仅在媒体关注后才被封禁。这些事件凸显了DOGE在追求效率的同时,忽视了网络安全的重要性,可能成为其改革的牺牲品。
https://cybernews.com/security/musk-doge-website-hacked/
2. 荷兰警方查封Zservers/XHost防弹托管服务127台服务器
2月17日,近日,美、英、澳三国对俄罗斯防弹托管服务提供商Zservers及其管理员Alexander Igorevich Mishin和Aleksandr Sergeyevich Bolshakov实施制裁,因其支持俄罗斯勒索软件LockBit行动。Zservers位于俄罗斯巴尔瑙尔,通过提供防弹托管服务(BPH),包括租赁大量IP地址,协助LockBit关联公司逃避执法和网络安全公司的审查,协调和发起勒索软件攻击。此前,加拿大执法部门在搜查中发现Zservers的转租IP地址与LockBit恶意软件操作有关。荷兰因法律薄弱难以关闭此类服务,凸显了加强法规的必要性。几天后,荷兰警方宣布已下线并查封了与Zservers/XHost相关的127台位于阿姆斯特丹的服务器。这些服务器被Conti和LockBit等网络犯罪集团使用。经过一年多的调查,阿姆斯特丹警方网络犯罪小组在2月12日的突袭中捣毁了这家防弹托管商。行动中发现的服务器上装有Conti和Lockbit的黑客工具,这两个集团被认为是世界上最具生产力和破坏力的勒索软件集团。目前,该调查仍在进行中,警方正在分析被扣押服务器上存储的数据。
Dutch Police shut down bulletproof hosting provider Zservers and seized 127 servers
3. XCSSET macOS恶意软件新变种增强攻击能力,窃取用户敏感信息
2月17日,XCSSET macOS模块化恶意软件的新变种已出现在针对用户敏感信息的攻击中,包括数字钱包和Notes应用程序的数据。该恶意软件通常通过受感染的Xcode项目进行传播,已经存在至少五年,并且每次更新都代表着开发的一个里程碑。微软威胁情报团队在有限的攻击中发现了最新变种,它具有增强的代码混淆、更好的持久性和新的感染策略。新的变种采用了依赖于Base64和xxd方法的编码技术进行新的混淆,同时使用了zshrc和dock两种持久性技术。恶意软件还使用新的Xcode感染方法,将有效载荷放置在Xcode项目中。对于zshrc持久化方法,新的变种会创建一个包含有效负载的文件,并在启动新的shell会话时启动该文件。对于dock方法,恶意软件从攻击者的命令和控制服务器下载已签名的dockutil工具来管理dock项目,并创建一个恶意的Launchpad应用程序来执行恶意负载。Xcode是Apple的开发工具集,XCSSET的运营者通过针对Xcode项目资源可以接触到更多的受害者。微软建议检查和验证从非官方存储库克隆的Xcode项目和代码库,以防隐藏混淆的恶意软件或后门。
https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/
4. 黑客利用 Telegram API 传播新的 Golang 后门
2月17日,Netskope的网络安全研究人员发现了一个新的、可能仍在开发中的基于Golang的后门恶意软件,它利用Telegram API进行命令和控制(C2)通信。这种恶意软件源自俄罗斯,利用了Telegram等云服务,这些服务易于攻击者使用而难以被研究人员监控。该恶意软件在执行时会检查自身是否从指定位置和文件名运行,如不是,则会复制到该位置并启动副本。对于C2通信,后门使用开源Go包与Telegram交互,建立一个机器人实例来监视指定的聊天中是否有新命令。该恶意软件支持四个命令,但目前只实现了三个,包括执行PowerShell命令、重复初始安装检查和过程、发送屏幕截图消息(虽未完全实现)以及自毁命令。这种对云应用程序的恶意利用给防御者带来了挑战,因为从防御者的角度来看,很难区分使用API的普通用户和C2通信。为了保持安全,建议安装最新且信誉良好的防病毒和反恶意软件,以检测和阻止此类恶意文件。
5. RansomHub勒索软件组织攻击苏圣玛丽奇普瓦印第安部落
2月17日,RansomHub勒索软件组织声称对苏圣玛丽奇普瓦印第安部落进行了攻击,已锁定其基础设施并获取了119GB的文件。受影响的系统包括赌场、便利店、政府大楼、电信服务以及多个医疗中心。RansomHub指责部落未进行谈判,并批评其保险公司和董事会未采取行动。RansomHub威胁称,若周三前未收到回复,将泄露所有数据。苏圣玛丽奇珀瓦印第安部落则发表声明称,2月9日遭受了勒索软件网络攻击,多个电话和计算机系统受到影响。部落正在与网络安全专家合作,尽力解决问题,并设立了新的电话号码,预计将以有限能力运作一周。部落主席向社区保证,他们将继续定期更新恢复情况,但目前无法分享更多细节,感谢大家的耐心和理解。
https://databreaches.net/2025/02/17/ransomware-attack-affects-michigan-casinos-and-tribal-health-centers/
6. 亲俄黑客组织NoName057(16)对意大利多家实体发动DDoS攻击
2月17日,亲俄黑客组织NoName057(16)对意大利多家实体发动了DDoS攻击,目标包括利纳特机场、马尔彭萨机场、交通管理局、Intesa San Paolo银行以及塔兰托港和的里雅斯特港的网站。这些攻击是对意大利总统马塔雷拉将俄罗斯与纳粹德国历史进行比较的言论的回应,NoName057(16)声称这是对“恐俄者”的惩罚。尽管攻击对目标的影响较小,但意大利国家网络安全局迅速采取行动,支持受影响的组织并消除了攻击。NoName057组织自2022年3月以来一直活跃,使用多种工具进行攻击,并在地缘政治紧张时期升级袭击。此次攻击并非首次,之前该组织也曾对意大利各部委、机构、关键基础设施网站和私人组织发起过攻击。俄罗斯外交部发言人玛丽亚·扎哈罗娃也表示,马塔雷拉的言论不会“不受惩罚”。
Pro-Russia collective NoName057(16) launched a new wave of DDoS attacks on Italian sites