HackerNews 编译，转载请注明出处： 一项新调查发现，一种名为Raspberry Robin的恶意软件与近200个独特的命令与控制（C2）域名相关联。 “Raspberry Robin（也被称为Roshtyak或Storm-0856）是一个复杂且不断演变的威胁行为者，为众多犯罪团伙提供初始访问代理（IAB）服务，其中许多团伙与俄罗斯有联系，”Silent Push在一份与The Hacker News共享的报告中表示。 自2019年出现以来，该恶意软件已成为SocGholish、Dridex、LockBit、IcedID、BumbleBee和TrueBot等恶意软件的传播渠道。它还被称为QNAP蠕虫，因为它利用被攻破的QNAP设备来获取有效载荷。 多年来，Raspberry Robin的攻击链增加了一种新的分发方式，即通过Discord消息服务发送的附件中的存档和Windows脚本文件下载，此外还获取了一天漏洞来实现本地权限提升，这些漏洞在公开披露之前就被利用。 也有证据表明，该恶意软件作为按安装付费（PPI）的僵尸网络提供给其他行为者，以分发下一阶段的恶意软件。 此外，Raspberry Robin感染还纳入了一种基于USB的传播机制，即使用包含伪装成文件夹的Windows快捷方式（LNK）文件的被攻破的USB驱动器来激活恶意软件的部署。 美国政府已经透露，被追踪为Cadet Blizzard的俄罗斯国家级威胁行为者可能使用Raspberry Robin作为初始访问促进器。 Silent Push在其与Team Cymru共同进行的最新分析中发现了一个用于连接所有被攻破的QNAP设备的数据中继IP地址，最终发现了超过180个独特的C2域名。 “这个单一IP地址通过Tor中继连接，这可能是网络运营商发布新命令并与被攻破设备交互的方式，”该公司表示。“用于此中继的IP位于一个欧盟国家。” 对基础设施的深入调查表明，Raspberry Robin的C2域名很短，例如q2[.]rs、m0[.]wf、h0[.]wf和2i[.]pm，并且它们在被攻破的设备和IP之间快速轮换，使用一种称为快速通量的技术，以使它们难以被关闭。 Raspberry Robin的一些顶级域名（TLD）包括.wf、.pm、.re、.nz、.eu、.gy、.tw和.cx，域名使用Sarek Oy、1API GmbH、NETIM、Epag[.]de、CentralNic Ltd和Open SRS等小众注册商注册。大多数已识别的C2域名的域名服务器位于一家名为ClouDNS的保加利亚公司。 “Raspberry Robin被俄罗斯政府威胁行为者使用，与其与无数其他严重威胁行为者合作的历史相符，其中许多与俄罗斯有联系，”该公司表示。“这些包括LockBit、Dridex、SocGholish、DEV-0206、Evil Corp（DEV-0243）、Fauppod、FIN11、Clop Gang和Lace Tempest（TA505）。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： QNAP已修复六项rsync漏洞，这些漏洞可能导致攻击者在未打补丁的网络附加存储（NAS）设备上执行远程代码。 Rsync是一款开源文件同步工具，支持通过其守护进程进行直接文件同步、通过SSH进行SSH传输以及节省时间和带宽的增量传输。它被Rclone、DeltaCopy、ChronoSync等许多备份解决方案广泛使用，同时也应用于云和服务器管理操作以及公共文件分发。 这些漏洞被追踪为CVE-2024-12084（堆缓冲区溢出）、CVE-2024-12085（未初始化堆栈导致的信息泄露）、CVE-2024-12086（服务器泄露任意客户端文件）、CVE-2024-12087（通过–inc-recursive选项的路径遍历）、CVE-2024-12088（绕过–safe-links选项）和CVE-2024-12747（符号链接竞态条件）。 QNAP表示，这些漏洞影响了其数据备份和灾难恢复解决方案HBS 3 Hybrid Backup Sync 25.1.x，该方案支持本地、远程和云存储服务。 在周四发布的安全公告中，QNAP表示已在HBS 3 Hybrid Backup Sync 25.1.4.952中修复了这些漏洞，并建议客户将软件更新到最新版本。 要在您的NAS设备上更新Hybrid Backup Sync安装，您需要： 以管理员身份登录QTS或QuTS hero。 打开App Center并搜索HBS 3 Hybrid Backup Sync。 等待HBS 3 Hybrid Backup Sync出现在搜索结果中。 点击“更新”，然后在后续确认消息中点击“确定”。 这些rsync漏洞可以组合利用，形成导致远程系统妥协的利用链。攻击者仅需要对易受攻击的服务器拥有匿名读取访问权限。 “当组合利用时，前两个漏洞（堆缓冲区溢出和信息泄露）允许客户端在运行Rsync服务器的设备上执行任意代码，”CERT/CC在rsync 3.4.0发布安全修复的一周前发出警告。“客户端仅需要对服务器拥有匿名读取访问权限，例如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。” Shodan搜索结果显示，有70多万个IP地址暴露了rsync服务器。然而，尚不清楚其中有多少容易受到利用这些安全漏洞的攻击，因为成功利用需要有效的凭据或配置为允许匿名连接的服务器。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Security Affairs 网站披露，NAS 厂商 QNAP（威联通）在安全公告表示， QTS 5.0.1 和 QuTS hero h5.0.1 两款软件中存在严重漏洞 （追踪为 CVE-2022-27596，CVSS v3 评分：9.8）。 据悉，即使远程攻击者没有获得用户交互权限或易受攻击设备上其它权限，也可以轻松利用 CVE-2022-27596 漏洞在受影响的 QNAP 设备上注入恶意代码。 漏洞影响 QTS 5.0.1 和 QuTS hero h5.0.1 版本。 漏洞披露不久后，QNAP 就发布了 QTS 和 QuTS 固件安全更新。目前，以下操作系统版本已修复了 CVE-2022-27596 漏洞。 QTS 5.0.1.2234 build 20221201 及更高版本 QuTS hero h5.0.1.2248 build 20221215 及更高版本 网络安全公司 Censys 对互联网上暴露的 QNAP 设备进行了全面扫描，发现 30000 台设备运行 QTS 5.0.1 和 QuTS hero h5.0.1易受攻击的版本，可能会受到 CVE-2022-27596 漏洞的影响。 此外，Censys 对 67415 台据称运行基于 QNAP 系统的主机进行了检查，但只从 30520 台主机中获得了版本号。在这 30520 台具有版本的主机中，只有 557 台更新了安全补丁，这意味着 29968 台主机可能受到 CVE-2022-27596 漏洞的影响。值得一提的是，其中易感染的系统主要位于意大利（3200）、美国（3149）和台湾（1942）。 易受攻击的版本： 最后，Censys 强调一旦 CVE-2022-27596 漏洞被网络犯罪分子发布并武器化，可能会给成千上万的 QNAP 用户带来麻烦。因此强烈建议用户立刻升级其 QNAP 设备，以免遭受网络攻击。   转自 Freebuf，原文链接：https://www.freebuf.com/news/356449.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer网站6月17日消息，网络附加存储 (NAS) 供应商威联通（QNAP） 于当日再次向客户发出提醒，要求他们采取措施保护好设备，以免受 DeadBolt 勒索软件新型攻击活动的影响。 QNAP表示，它们于近期检测到新的 DeadBolt 勒索软件活动，根据目前受害者的报告，该攻击活动似乎针对运行 QTS 4.x 系统版本的 QNAP NAS 设备。为此，QNAP强烈建议所有用户立即将其 NAS 设备上的 QTS 或 QuTS hero 操作系统更新到最新版本，确保勒索软件不会通过 Internet 进行远程访问。 根据QNAP披露，受感染的设备升级系统固件后，能让内置的 Malware Remover 应用程序自动隔离已知劫持登录页面的 DeadBolt 赎金记录。若在升级固件输入DeadBolt解密密钥后无法找到赎金记录，可向QNAP支持部门寻求帮助。 如同在今年1月DeadBolt 发动的攻击一样，它会在所劫持设备的登录页面上留下“您的文件已被 DeadBolt 锁定”的警告，受感染设备一旦启动，DeadBolt 就会使用 AES128 加密文件，并在其名称后附加 .deadbolt 的扩展名。为了方便受害者能看到赎金记录，它还替换了 /home/httpd/index.html 文件。在受害者支付了0.03比特币的赎金后，攻击者会向同一比特币地址创建一个比特币交易，其中包含OP_RETURN输出下的解密密钥。 勒索软件专家Michael Gillespie创建了一个免费的Windows解密器，可以帮助解密文件而不使用DeadBolt提供的可执行程序。然而，受DeadBolt勒索软件攻击的QNAP用户仍需要支付赎金，以获得有效的解密密钥来恢复数据。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336646.html 封面来源于网络，如有侵权请联系删除

近期，QNAP发布了几项安全公告，其中一项针对严重的安全问题，该问题允许在易受攻击的QVR系统上远程执行任意命令，该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码，专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588，严重程度得分为9.8。它会影响早于5.1.6 build 20220401的QVR版本。 根据QNAP发布的公告，该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用，此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见，当漏洞利用公开可用时，QNAP系统中的关键漏洞几乎立即在网络攻击中被利用。 目前BleepingComputer表示已与QNAP联系，要求提供有关 CVE-2022-27588是否被积极利用的信息，并将根据公司的回应做出及时报道。 除了QVR 中的严重问题外，QNAP还解决了其他产品中的8个漏洞，严重程度介于中到高之间。 以下是修复的完整列表： CVE-2022-27588：QNAP QVR 中的严重RCE CVE-2021-38693：thttpd中的中等严重性路径遍历漏洞，影响 QTS、QuTS hero 和 QuTScloud。 CVE-2021-44055：中等严重性缺陷，允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44056：中等严重性缺陷，允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44057：运行 Photo Station 的 QNAP NAS 中的高危漏洞。 CVE-2021-44051：高严重性命令注入漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中执行任意远程命令。 CVE-2021-44052：高严重性链接解析漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中执行恶意文件操作。 CVE-2021-44053：高严重性跨站点脚本 (XSS) 漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中进行远程代码注入。 CVE-2021-44054：高严重性开放重定向漏洞，允许用户重定向到 QTS、QuTS hero 和 QuTScloud 中带有恶意软件的页面。 目前，QNAP尚未提供缓解指南，因此建议您将软件更新到最新的可用版本。 转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332343.html 封面来源于网络，如有侵权请联系删除