据美国联邦调查局（FBI）、网络安全和基础设施局（CISA）以及卫生与公众服务部的联合报告，ALPHV/BlackCat勒索软件团伙威胁要对执法干预进行报复，并将目标瞄准医疗保健行业。 据BleepingComputer报道，该团伙声称对最近针对Change Healthcare的攻击负责，声称窃取了6TB数据，其中包括Change Healthcare解决方案源代码以及数千家医疗保健提供商、药房和保险提供商的数据。 此次网络攻击对全国药店产生了重大影响，促使人们采用电子解决方案。AttackIQ对手研究团队的分会负责人安德鲁·科斯蒂斯在一封电子邮件中告诉SC Media，在针对医疗保健行业的这次重大网络攻击中，这一建议为各组织敲响了警钟，要求他们优先考虑网络安全措施。 FBI 中断后，ALPHV/BlackCat 袭击了近 70 家受害者 周二发布的联合通报是对12月19日通报的更新，与司法部同时发布公告，称FBI已扰乱勒索软件即服务(RaaS)组织并查封了多个网站。 ALPHV/BlackCat随后“解封”了其网站，并向附属公司发布消息，取消对攻击关键基础设施的限制，特别将医院和核电站列为潜在目标。更新后的指南包括截至2024年2月与ALPHV/BlackCat及其附属公司相关的最新已知妥协指标(IOC)以及策略、技术和程序(TTP)。 美国国务院悬赏1000万美元，征集有关ALPHV/BlackCat领导人身份和位置的信息，并额外悬赏500万美元，征集导致该团伙任何附属机构被捕或定罪的信息。 ALPHV/BlackCat 利用远程访问工具，冒充 IT 人员 根据FBI和CISA的报告，ALPHV/BlackCat利用先进的社会工程和远程访问工具进行攻击。他们经常伪装成IT技术人员或服务台工作人员，获取员工凭证进行初始访问，然后部署远程访问软件如AnyDesk、Mega sync或Splashtop，协助数据泄露。 ALPHV/BlackCat附属公司使用开源中间对手攻击框架Evilginx2从受害者系统获取MFA凭据、登录凭据和会话cookie，并利用域控制器获取密码在网络中横向移动。 该组织声称使用合法的红队模拟工具Brute Ratel C4和Cobalt Strike作为其C2服务器的信标。 2月27日的更新中添加了ALPHV/BlackCat已知使用的工具的哈希值和文件名，以及网络指示器如C2服务器域和IP地址，以及ScreenConnect和SimpleHelp远程访问的IP地址。 建议采取白名单方法保护远程访问工具，并使用FIDO/WebAuthn身份验证或基于PKI的MFA来抵御网络钓鱼、推送轰炸和SIM交换策略。 部署强大的MFA特别是在远程访问系统上是至关重要的，可以防止被盗凭证导致勒索软件事件。 改变医疗保健漏洞可能是持续勒索软件趋势的一部分 尽管运营Change Healthcare平台的Optum及其母公司UnitedHealth Group尚未确认ALPHV/BlackCat的隶属关系，但其被列入勒索软件团伙的泄露网站，表明针对医疗保健行业的持续趋势。医疗保健行业是勒索软件不可抗拒的目标，2023年公开的攻击比前一年增加了134%。 安全研究人员表示，Change Healthcare攻击可能涉及对ConnectWise ScreenConnect关键漏洞的利用，尽管ConnectWise否认存在连接，ALPHV/BlackCat附属公司拒绝使用此漏洞。 FBI、CISA和HHS的IOC表明ALPHV/BlackCat附属机构已使用ScreenConnect进行远程访问，但并不表明使用了特定漏洞。 尽管资源限制，但缓解医疗保健系统遭受的勒索软件攻击仍是一场艰苦的战斗。许多医疗保健组织的IT和网络安全团队相对薄弱，缺乏完全外包的情况下，很难实施最佳实践。   转自安全客，原文链接：https://www.anquanke.com/post/id/293561 封面来源于网络，如有侵权请联系删除

被追踪为 UAC-0184 的威胁行为者一直在使用隐写术技术，通过名为 IDAT Loader 的相对较新的恶意软件向位于芬兰的乌克兰目标传送 Remcos 远程访问木马 (RAT)。 初始目标是乌克兰境内的实体，但由于防御措施阻止了有效载荷的交付，导致寻找替代目标。 与此同时，据称还有与 UAC-0148 相关的并行活动，使用电子邮件和鱼叉式网络钓鱼作为初始访问媒介，以乌克兰军事人员为目标，以提供军事咨询为诱饵。活动的目标是进行网络间谍活动，利用 Remcos RAT 未经授权地访问受害者的计算机，控制受感染的系统，窃取敏感信息以及执行命令。 IDAT Loader：新的 Remcos RAT 感染例程 1月份发现了一项新活动，利用嵌套感染方式，从代码标记为“racon”的新用户代理开始。该代码获取第二阶段有效负载并执行连接检查和活动分析。研究人员确认这个有效负载为IDAT Loader（又名HijackLoader），是一种高级加载程序，与多个恶意软件家族相关联，于2023年底首次被观察到。 IDAT Loader将Remcos RAT代码隐藏在PNG图像文件的IDAT块中，这是便携式网络图形图像文件格式的一部分。攻击者利用隐写术将恶意负载藏在图像文件中，即使文件经过扫描，编码的恶意有效负载也难以被检测到。用户下载的最初文件是一个名为DockerSystem_Gzv3.exe的可执行文件，伪装成软件安装包。执行此文件会触发后续的攻击阶段。 RAT 恶意软件巢穴激增 Remcos RAT 越来越多地使用创造性技术进行部署。例如，今年早些时候，研究人员发现了一个被追踪为 UNC-0050 的威胁行为者，该行为者因多次使用 Remcos RAT 攻击乌克兰的组织而闻名，并使用罕见的数据传输策略针对该国政府发起了一次攻击。 与此同时，价格低于 100 美元的廉价恶意软件“套餐”的增加正在推动利用 RAT 的活动增加，这些 RAT 经常隐藏在电子邮件附加的看似合法的 Excel 和 PowerPoint 文件中。 去年，Remcos RAT 间谍软件还被发现利用旧的 Windows UAC 绕过技术来针对东欧的组织，去年 3 月和 4 月在美国报税截止日期之前针对会计师的活动中也发现了 Remcos RAT 间谍软件。 Morphisec 研究人员告诉 Dark Reading：“正如在最新攻击中观察到的那样，威胁行为者越来越多地使用防御规避技术来绕过签名检测和基于行为的端点保护解决方案。” “在这种情况下，我们观察到隐写术和内存注入作为规避技术的结合使用。” 他们补充说，“因此，安全领导者应该考虑威胁形势的这些变化，并考虑采用可以通过减少此类潜在攻击的暴露来增强深度防御的解决方案。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293466 封面来源于网络，如有侵权请联系删除

Cybernews网站消息，Reddit某用户在遭受网络攻击后，Netlify向他的简单静态网站开具了一张10.4万美元的账单。最初收到这个账单，该用户还以为是在开玩笑，与Netlify公司客服沟通后，账单降至5225美元。随着这个故事在网上的热度不断攀升，Netlify公司CEO决定不向该用户收取任何费用。 分布式拒绝服务（DDoS）攻击通常被看作是小麻烦，很少造成持久的损害。但Reddit上的一个用户“liubanghoudai24”在遭受DDoS攻击后，收到了云服务提供商发来的一份高额账单。 liubanghoudai24 提到，上周末他收到了一封Netlify发来的邮件，称他有一笔10.4万美元的账单逾期未支付。 Netlify的控制面板显示，该网站在四天内的带宽使用量异常高，2月16日达到了峰值60.7TB，他们怀疑网站遭到了攻击。 此前，liubanghoudai24用户发布的静态网站已经在Netlify上运行了四年，每月的带宽使用量没有超过10GB，每天的访客数量大约200人，使用免费套餐就足够了。“虽然这不是不可能发生的事，但为什么会攻击这样一个简单的静态网站呢？”用户困惑地说。 据了解，被攻击的网站jyutping.org存储了一套粤语的罗马拼音方案、一些课程和教程。在联系客服确认情况后，发现网站内有一个mp3文件（一首邓丽君演唱的非常火的歌曲《满船尽载一船愁》）被下载了数百万次，累计使用了164.1TB的宽带流量。在过去30天内，占据了该网站带宽使用量的99%。 其中，大量的宽带消耗来源于使用谷歌云服务地址的一些非常老旧的用户代理，包括像2010年左右的iPad、Windows 98和Windows 6电脑等设备。 根据以上情况，Netlify表示，该网站要么拥有一批热衷于老式技术的粉丝，要么可能遭到了一次DDoS攻击，他们更偏向于后者。Netlify建议将这类文件托管到像YouTube或SoundCloud这样的第三方平台上。 CEO在帖子中回复，liubanghoudai24不会因此承担费用 在Hacker News上，一名使用“bobfunk”别名的用户自称是Netlify的CEO，他向其他用户保证遭受DDoS攻击后的相关账单将会被免除。Cybernews尝试但未能核实该CEO的身份，但根据该用户曾发表的多个帖子及其个人资料，可以证明他是Netlify创始人Matt Biilmann。 bobfunk表示，“公司客服已经与论坛中的用户取得联系，告知他此次事件不会产生任何费用。目前，在流量激增且不符合攻击模式的情况下，公司不会关闭免费网站，但会在事后免除因合理错误产生的任何费用。对于这一信息没有在最初的回复中明确传达，我们深表歉意。” 另外，bobfunk用户还向那些质疑如果这一事件没有引起热议，Netlify是否会免除账单的人做了保证。据他所说，在过去9年中，公司已经免除了大量账单，而那些账单并没有引起广泛关注。虽然他一直倾向于出错时让网站保持正常运行，但目前公司正在努力改变默认设置，确保免费网站不会产生超额费用。 Cybernews已经联系了Netlify以获取更多消息，并将在收到回复后更新报道。   转自Freebuf，原文链接：https://www.freebuf.com/news/392768.html 封面来源于网络，如有侵权请联系删除

网络钓鱼即服务（PhaaS）平台 “LabHost “一直在帮助网络犯罪分子攻击北美银行，尤其是加拿大的金融机构，近日的攻击活动明显增加。 PhaaS 平台向网络犯罪分子提供整套网络钓鱼工具、托管网页的基础设施、电子邮件内容生成和活动概述服务，可按月订购。 LabHost 并不是一家新的提供商，但在 2023 年上半年为加拿大银行推出定制网络钓鱼工具包后，其受欢迎程度急剧上升。 Fortra 在跟踪网络犯罪分子的活动后报告说，LabHost 已经超越了之前的 PhaaS 平台 Frappo，LabHost 现在成为了针对加拿大银行客户的大多数网络钓鱼攻击背后“助力”。 虽然 LabHost 在 2023 年 10 月初曾出现过一次破坏性的中断，但目前它的各项服务已恢复正常，每月都会协助网络网络犯罪分子发起数百次攻击。 观测到的 PhaaS 活动（Fortra） 两周前，ortra 首次在其博客上发布了一篇文章，提醒人们注意新出现的威胁，但昨天又增加了有关 LabHost 及其内部运作的更多细节，据推测，这是在他们用自己的账户潜入该公司后发布的。 LabHost内部情况 LabHost 提供三个会员等级，分别为： 标准（179 美元/月） 高级（249 美元/月） 世界（300 美元/月） 第一个级别主要针对加拿大银行，第二个级别包括美国银行，第三个级别针对除北美以外的全球 70 家机构。 除了针对银行的钓鱼工具包，这些模板还包括针对 Spotify 等在线服务、DHL 等邮政快递服务以及地区电信服务提供商的钓鱼网页。购买了 LabHost 面板访问权限的网络犯罪分子可获得多个安装选项定制攻击。 网络钓鱼定制选项 LabHost 通过将网络钓鱼过程与实时网络钓鱼管理工具 “LabRat “相连接，使攻击者能够窃取目标账户的 2FA 保护。 Fortra 解释称，LabHost提供的所有诈骗工具包都与名为LabRat的实时活动管理工具一同运行。LabRat 允许网络钓鱼者控制和监控他们的主动攻击，这种功能在中间人攻击中被用来获取双因素验证码、验证有效凭证和绕过其他安全检查。 用于实施攻击的 LabRat 工具 LabHost 在 10 月中断后重新开始运营时，还推出了一种名为 “LabSend “的新短信垃圾邮件发送工具，该工具在短信中嵌入了指向 LabHost 钓鱼页面的链接。 Fortra的报告提到，LabSend工具可以在多个SID之间协调自动钓鱼活动，随机化短信的部分内容，以躲避编入目录的恶意垃圾短信的检测。在发送短信诱饵后，LabSend 还能够使用可定制的信息模板自动回复受害者的消息。 在 Telegram 上推广 LabSend 新功能 网络钓鱼即服务（Phishing-as-a-Service）平台能够协助初级黑客更便捷地接触网络犯罪，这大大增加了威胁行为者的数量，导致网络安全事件加剧。 除了LabHost外，研究人员还警告大家警惕 “Greatness “和 “Robin Banks” 两大PhaaS 平台，这两个平台都是在 2022 年中期推出的，其特点是绕过 MFA、定制网络钓鱼工具包和管理面板。   转自Freebuf，原文链接：https://www.freebuf.com/news/392751.html 封面来源于网络，如有侵权请联系删除

专门从事自行搬迁租赁车辆和设备的美国公司 U-Haul 报告称，攻击者已使用窃取的凭据渗透了其信息系统。由于 12 月 5 日发生的事件，来自美国和加拿大的约 6.7 万名客户的记录遭到泄露。 U-Haul 发言人证实了这一安全漏洞，但拒绝提供进一步评论。与外部网络安全公司联合进行的一项调查显示，黑客访问了 U-Haul 经销商和团队成员系统，通过该系统监控预订和客户记录。 泄露的数据包括客户的姓名、出生日期和驾驶执照号码。U-Haul 代表澄清，因为客户记录系统与公司的支付系统没有任何连接，客户的财务信息并未被盗。为了应对这一事件，该公司加强了安全措施，包括更改受感染帐户的密码，并向受影响的客户提供为期一年的免费Experian IdentityWorks服务订阅。 U-Haul 已从一家小型家族企业发展成为一家租赁各种尺寸卡车、拖车、存储系统和其他移动设备的大型网络。该公司在美国和加拿大拥有广泛的代表处和租赁地点网络，可以为广泛的客户提供服务。 数据泄露发生在使用合法凭据的攻击急剧增加之际。根据 IBM Security X-Force 最近的一份报告 ，2023 年此类事件与上一年相比增加了 71%。数据泄露的帐户占 IT 巨头事件响应团队遇到的所有事件的 30%。 反过来， CrowdStrike 的类似报告也表明与身份证件相关的威胁有所增加。除了使用窃取的凭据之外，攻击者还瞄准 API 密钥、会话 cookie 和令牌、一次性密码以及 Kerberos 票证。   转自安全客，原文链接：https://www.anquanke.com/post/id/293453 封面来源于网络，如有侵权请联系删除

一位化名IntelBroker、曾入侵通用电气、 惠普企业和 DC Health Link 的黑客 声称，这次他成功入侵了洛杉矶国际机场（LAX）的数据库，窃取了私人飞机所有者的机密数据。 黑客表示，此次黑客攻击是在本月进行的，并未影响普通乘客的数据。大约 250 万条记录因该事件而被泄露，包括全名、注册会计师号码、电子邮件地址、公司名称、飞机型号和飞机机尾识别号。 黑客攻击的信息由黑客 IntelBroker 本人在网络犯罪论坛BreachForums上发布， 该论坛自去年 3 月 清算后由 ShinyHunters 组织恢复。 IntelBroker 从 2 月 23 日起在 BreachForums 上发帖 IntelBroker表示，该数据库是通过利用机场使用的CRM系统中的漏洞获得的。还需要注意的是，在发布的帖子中，此次黑客攻击被归咎于化名“kwillsy”的黑客，尽管 IntelBroker 随后表示后者与此次事件无关，IntelBroker 及其团队个人承担全部责任。 该事件是 2024 年初以来发生的众多数据泄露事件之一，影响了企业和政府部门。   转自安全客，原文链接：https://www.anquanke.com/post/id/293451 封面来源于网络，如有侵权请联系删除

近日，拜登政府正不断向科技行业施压，要求企业使用能够防止内存相关错误的编程语言，从设计之初就确保产品的安全性。 自80年代以来，这种内存错误就一直存在，攻击者可以滥用软件对计算机内存的管理方式，入侵系统、破坏数据或运行恶意代码。目前，国家网络安全局（ONCD）正在采取措施，以降低这种错误带来的风险。 ONCD领导人哈里·科克尔（Harry Coker）在介绍白宫为科技行业制作的一份新报告时表示，为了减少网络空间的攻击面，必须通过保护网络空间的基础构建来大规模消除整个类别的漏洞。 白宫指出，这份报告得到了包括SAP、惠普企业和霍尼韦尔在内的科技公司和学术界领导者的支持，意味着网络安全的责任从个人和小型企业转向科技公司这一样的大型组织迈出了重要一步，因为这些大公司更有能力应对不断变化的网络威胁。 报告提到，C和C++等编程语言在关键系统中的使用非常广泛，但它在内存安全性方面缺乏相关特性，建议采用像Rust、Python和Java等编程语言作为替代。 拜登政府的一位高级官员表示，白宫希望除工程师外的高管们也要开始关注这个问题，希望内存安全成为许多公司下一次董事会议程中的一项。 据介绍，该报告编制工作耗时超过一年，期间与科技行业进行了多次接触和讨论，那些拥有大量产品线的大型公司在这个议题上会面临繁重的工作量。需要明确的是，迁移到内存安全代码可能需要长达数十年的努力，具体取决于公司的规模，并且需要所有人的关注和支持。但是，那些做出改变的公司将对国家的安全产生重大影响。 政府官员表示：“这种转变之所以困难，是因为在过去的35年里，威胁行为者一直在利用这种错误向我们发起攻击。而现在，我们已经具备了做出改变所需要的技术，正是进行转型的恰当时机。” 回顾三十多年前，计算机内存漏洞不仅促成了最初的互联网安全事件之一——1988年的莫里斯蠕虫，而且直至今日仍然为攻击者提供可利用的机会，例如2023年间谍软件供应商所使用的BLASTPASS漏洞攻击链。 报告还提到，科技行业应该建议制定更精确的软件安全性评估指标，但根据白宫发布的简报，这需要在软件工程和网络安全研究领域进行新尝试。 事实上，该报告是对乔·拜登总统2021年发布的网络安全行政命令以及2023年发布的国家网络安全战略的最新跟进。 其他机构也倡导技术行业在产品开发过程中尽早考虑安全性。例如，网络安全和基础设施安全局（CISA）的“安全设计”倡议，以及商务部关于软件物料清单（SBOM）最低要素的报告。去年12月，国家安全局（NSA）和CISA还发布了一份关于内存安全编程的指南。   转自Freebuf，原文链接：https://www.freebuf.com/news/392666.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基的网络安全专家发现了一种专门针对中小型企业新的网络钓鱼活动。 攻击的方式包括利用电子邮件服务提供商(ESP) Twilio SendGrid来访问客户邮件列表，以及利用窃取的凭证发送令人信服的网络钓鱼电子邮件等。 这些电子邮件伪装得十分真实，所以如果收件人收到后没有意识到是钓鱼邮件，极可能会造成其一定的损失。 卡巴斯基在其最新发现中解释说，通过利用 SendGrid 的基础设施，攻击者可以利用收件人对过往发件人来源的信任度，来提高网络钓鱼成功的效果。 这些欺诈性电子邮件通常是伪装成来自ESP的合法消息，提示收件人在增强安全性的幌子下启用双因素身份验证(2FA)。但其提供的链接会将用户重定向到一个模仿SendGrid登录页面的假冒网站，然后在那里获取他们的凭据。 卡巴斯基安全专家Roman Dedenok表示：使用可靠的电子邮件服务提供商对企业的声誉和安全非常重要。但现在有一些骗子学会了伪装，他们往往伪装成提供可靠服务的邮件提供商。所以对企业来说，认真检查您收到的电子邮件至关重要，为了更好地提供保护，请安装可靠的网络安全解决方案。 安全专家还强调称，网络钓鱼者经常利用被劫持的账户，这是因为 ESP 通常会对新客户进行严格检查，而已经发送过大量电子邮件的老账户通常被认为是值得信赖的。 为了降低遭受网络钓鱼攻击的风险，卡巴斯基建议对员工进行基本的网络安全培训，利用具有反钓鱼功能的邮件服务器保护解决方案，并部署端点安全解决方案。 对此，Twilio 发布声明称：假冒网站管理员或其他关键功能已被证明是整个行业中一种有效的网络钓鱼手段，不少黑客对其平台和服务加以滥用，不仅窃取了客户的账户凭证，还利用平台发起了钓鱼攻击，Twilio SendGrid 对此非常重视，安全团队一经发现与网络钓鱼活动有关的账户就立即将其关停。 Twilio 发言人表示：平台鼓励所有终端用户采取多管齐下的方法来打击网络钓鱼攻击，包括双因素身份验证、IP 访问管理和使用基于域的消息传递等。   转自Freebuf，原文链接：https://www.freebuf.com/news/392548.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近期，执法部门遭受黑客攻击，LockBit团伙已在新基础设施上重新启动了勒索软件操作，并威胁将更多的攻击重点放在政府部门上。 根据联邦调查局泄密模型透露，该团伙发布了一份详细声明，指明他们的疏忽导致了此次泄露，并概述了未来的行动计划，旨在引起关注。 LockBit 勒索软件持续攻击 上周六，LockBit宣布恢复其勒索软件业务，并发布信息称，承认“个人疏忽和不负责任”扰乱了执法部门其在克罗诺斯行动中的活动。 该团伙保留了其品牌名称，并将数据泄露网站转移到了新的.onion地址。该网站列出了五名受害者，并附有发布被盗信息的倒计时器。   重新启动的 LockBit 数据泄露网站 2月19日，当局拆除了LockBit的基础设施，包括34台服务器，这些服务器托管了数据泄露网站及其镜像、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 在攻击发生后，LockBit团队立即确认了泄露事件，称他们只丢失了运行PHP的服务器，并且未受影响的备份系统是基于PHP的。 五天后，LockBit团队重新启动了其业务，并提供了有关漏洞的详细信息，以及他们将如何运营业务以使其基础设施更难以遭受黑客攻击。 未更新的 PHP 服务器 LockBit 表示，执法部门入侵了两个主要服务器。 黑客指出，由于个人疏忽和不负责任，他们没有及时更新PHP，导致受害者管理和聊天面板服务器以及博客服务器运行的是PHP 8.1.2版本，其很可能受到了CVE-2023-3824漏洞的黑客攻击。 LockBit表示，他们已经更新了PHP服务器，并宣布将奖励在最新版本中发现漏洞的人。 网络犯罪分子猜测，执法部门入侵其基础设施的原因可能是因为一月份对富尔顿县的勒索软件攻击，这增加了泄露信息的风险。 黑客表示，执法部门获得了数据库、网络面板源以及一小部分未受保护的解密器”。 去中心化 在克罗诺斯行动期间，当局收集了1000多个解密密钥。LockBit声称警方从未受保护的解密器获得了密钥，服务器上有近20,000个解密器。 黑客将“不受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建，通常由低级别附属机构使用，这些附属机构收取2000美元的赎金。 LockBit计划升级其基础设施的安全性，并切换为手动发布解密器和试用文件解密，以及在多个服务器上托管附属面板，并根据信任级别为其合作伙伴提供对不同副本的访问权限。 该团伙遭受了沉重打击，即使它设法恢复了服务器，附属机构也有充分的理由不信任。LockBit表示，通过面板的分离和更大的去中心化，无需自动模式下的试解密，最大限度地保护每个公司的解密者，黑客入侵的机会将显著降低。 消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户，它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞当时没有 CVE 标识符。第二天，该公司警告说，它已经意识到野外的利用企图。 CVE 标识符现已分配给这两个漏洞：CVE-2024-1709 为身份验证绕过漏洞，CVE-2024-1708 为路径遍历漏洞。 威胁检测和响应公司 Huntress（将这些缺陷称为SlashAndGrab）在概念验证 (PoC) 漏洞利用已经可用后，于 2 月 21 日披露了技术细节。 身份验证绕过漏洞允许攻击者创建具有管理员权限的新帐户。然后可以利用路径遍历来执行任意代码。 有几份报告表明 CVE-2024-1709 被广泛利用，但尚不清楚 CVE-2024-1708 是否也被利用。 Huntress报告称，看到 SlashAndGrab 被利用来传播 LockBit 勒索软件、Cobalt Strike、SSH 隧道、远程管理工具和加密货币挖矿程序。该公司确定的受害者包括地方政府、应急系统和医疗机构。 Sophos 还报告称看到了LockBit 勒索软件的传播，考虑到该网络犯罪企业最近成为了一场极具破坏性的执法行动的目标，这一点很有趣。 Sophos 表示：“尽管针对 LockBit 采取了执法行动，但一些附属机构似乎仍在运行。” 该网络安全公司还发现通过利用 ScreenConnect 漏洞传播 AsyncRAT、各种信息窃取程序和 SimpleHelp 远程访问软件。 非营利网络安全组织 Shadowserver 基金会报告称，截至 2 月 21 日，已发现超过8,200 个暴露于互联网且易受攻击的ScreenConnect 实例。易受攻击实例的比例最高的是美国，其次是加拿大和英国。 Shadowserver 表示：“CVE-2024-1709 在野外被广泛利用——迄今为止，我们的传感器已发现 643 个 IP 受到攻击。” CISA 已将 CVE-2024-1709 添加到其已知被利用的漏洞目录中，并指出该机构已意识到勒索软件攻击中的利用情况。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/v4gwb3Z4PYd4vOSGpSB6nA 封面来源于网络，如有侵权请联系删除