一周安全资讯20220926：超过39000个未经身份验证的Redis服务器暴露在互联网上

发布日期：2022/09/26

国  际

1. 超过39000个未经身份验证的Redis服务器暴露在互联网上

　研究人员发现，身份不明的攻击者正瞄准暴露在互联网上的数万个未经身份验证的Redis服务器，试图安装加密货币矿工。

这种攻击方法的原理是将攻击者制作的文件数据库配置在Redis服务器的特定目录下，从而获得一些授权账户（如向“.ssh/authorized_keys”添加密钥）或启动新的进程（如将脚本程序添加到“/etc/cron.d”）。管理人员发现了此类攻击的一些证据，表明攻击者试图将恶意的crontab数据存储到“/var/spool/cron/root”路径下，从而可执行托管在远程服务器上的shell脚本。

研究表明，目前互联网上大约有35万个可访问的Redis数据服务器，其中39405个不需要身份验证，占比约11%，潜在的易暴露数据超过300GB。拥有未经身份验证的Redis服务器最多的国家包括中国（20011个）、美国（5108个）、德国（1724）等。建议相关用户尽快进行检查，确保启用Redis身份验证功能，并设置访问白名单。

2. 黑客利用木马化的PuTTY客户端部署后门程序

谷歌公司旗下网络威胁情报公司Mandiant发现了一种新型鱼叉式网络钓鱼攻击，它使用木马化的PuTTY SSH和Telnet客户端作为攻击媒介。

Mandiant使用UNC4034标记此次攻击背后的黑客群体，并推测该黑客组织可能与朝鲜有关系。攻击活动中，UNC4034首先利用WhatsApp与受害者建立通信联系，利用虚假的亚马逊公司工作机会引诱受害者下载恶意ISO软件包。软件包内包含PuTTY木马化版本以及一个包含IP地址和登录凭证的文本文件。攻击者很可能说服受害者启动PuTTY会话并使用文本文件中的凭据连接远程主机，从而使黑客可以在受害者设备上部署AIRDRY后门程序。AIRDRY曾经被朝鲜黑客用于攻击美国和韩国的实体公司。

3. 加密货币交易商Wintermute遭黑客攻击并损失1.6亿美元

美国当局追回了朝鲜Lazarus黑客组织从Axie Infinity视频游戏公司窃取的价值超过3000万美元的加密货币，这也是美国首次在这一重大网络盗窃活动中追回赃款。

今年3月，黑客入侵了美国视频游戏公司Axie Infinity的区块链网络Ronin Network，窃取了价值约6.2亿美元的以太坊和USDC加密货币，这是有史以来金额最大的加密货币黑客攻击活动。考虑到加密货币的价格变化，此次美国当局追回的资金约占黑客盗取资金的10%，表明攻击者越来越难兑现不义之财。资料显示，黑客盗窃成功后，将获取的以太坊代币桥接到BNB平台，然后兑换成USDD代币，最后桥接到BitTorrent平台，希望通过跨平台交易的形式进行洗钱。由于美国政府对各类虚拟货币交易平台进行重点管控，黑客的洗钱计划并未如期实现。

4. 优步公司遭黑客组织入侵

美国优步公司（Uber）的内部计算机系统于上周四遭到黑客入侵，导致部分敏感数据泄露，但公司的主体业务并未受到影响。

根据报道，此次入侵Uber的黑客是一名18岁的少年，绰号Tea Pot，被认为与臭名昭著的LAPSUS$黑客组织有关联。该黑客通过社会工程学手段诱骗一名Uber员工提供账户访问权限，随后进入了Uber内部共享网络，访问了多个员工的账户，并利用具有管理员权限的脚本获得了Uber的亚马逊云服务、谷歌云服务、OneLogin、Slack等关键系统服务的访问权限。网络安全研究人员分析表明，黑客获取的授权登录信息源自于恶意信息窃取软件，且至少有两名Uber员工感染了Raccoon和Vidar信息窃取软件。

LAPSUS$黑客组织具有朝鲜背景，通常瞄准科技公司实施攻击。今年以来，LAPSUS$已经入侵了微软、思科、三星、英伟达等世界知名公司的内部网络。