一周安全资讯20220926:超过39000个未经身份验证的Redis服务器暴露在互联网上

发布日期:2022/09/26

国  际


1. 超过39000个未经身份验证的Redis服务器暴露在互联网上

 研究人员发现,身份不明的攻击者正瞄准暴露在互联网上的数万个未经身份验证的Redis服务器,试图安装加密货币矿工。

这种攻击方法的原理是将攻击者制作的文件数据库配置在Redis服务器的特定目录下,从而获得一些授权账户(如向“.ssh/authorized_keys”添加密钥)或启动新的进程(如将脚本程序添加到“/etc/cron.d”)。管理人员发现了此类攻击的一些证据,表明攻击者试图将恶意的crontab数据存储到“/var/spool/cron/root”路径下,从而可执行托管在远程服务器上的shell脚本。

研究表明,目前互联网上大约有35万个可访问的Redis数据服务器,其中39405个不需要身份验证,占比约11%,潜在的易暴露数据超过300GB。拥有未经身份验证的Redis服务器最多的国家包括中国(20011个)、美国(5108个)、德国(1724)等。建议相关用户尽快进行检查,确保启用Redis身份验证功能,并设置访问白名单。


2. 黑客利用木马化的PuTTY客户端部署后门程序

谷歌公司旗下网络威胁情报公司Mandiant发现了一种新型鱼叉式网络钓鱼攻击,它使用木马化的PuTTY SSH和Telnet客户端作为攻击媒介。

Mandiant使用UNC4034标记此次攻击背后的黑客群体,并推测该黑客组织可能与朝鲜有关系。攻击活动中,UNC4034首先利用WhatsApp与受害者建立通信联系,利用虚假的亚马逊公司工作机会引诱受害者下载恶意ISO软件包。软件包内包含PuTTY木马化版本以及一个包含IP地址和登录凭证的文本文件。攻击者很可能说服受害者启动PuTTY会话并使用文本文件中的凭据连接远程主机,从而使黑客可以在受害者设备上部署AIRDRY后门程序。AIRDRY曾经被朝鲜黑客用于攻击美国和韩国的实体公司。


3. 加密货币交易商Wintermute遭黑客攻击并损失1.6亿美元

美国当局追回了朝鲜Lazarus黑客组织从Axie Infinity视频游戏公司窃取的价值超过3000万美元的加密货币,这也是美国首次在这一重大网络盗窃活动中追回赃款。

今年3月,黑客入侵了美国视频游戏公司Axie Infinity的区块链网络Ronin Network,窃取了价值约6.2亿美元的以太坊和USDC加密货币,这是有史以来金额最大的加密货币黑客攻击活动。考虑到加密货币的价格变化,此次美国当局追回的资金约占黑客盗取资金的10%,表明攻击者越来越难兑现不义之财。资料显示,黑客盗窃成功后,将获取的以太坊代币桥接到BNB平台,然后兑换成USDD代币,最后桥接到BitTorrent平台,希望通过跨平台交易的形式进行洗钱。由于美国政府对各类虚拟货币交易平台进行重点管控,黑客的洗钱计划并未如期实现。


4. 优步公司遭黑客组织入侵

美国优步公司(Uber)的内部计算机系统于上周四遭到黑客入侵,导致部分敏感数据泄露,但公司的主体业务并未受到影响。

根据报道,此次入侵Uber的黑客是一名18岁的少年,绰号Tea Pot,被认为与臭名昭著的LAPSUS$黑客组织有关联。该黑客通过社会工程学手段诱骗一名Uber员工提供账户访问权限,随后进入了Uber内部共享网络,访问了多个员工的账户,并利用具有管理员权限的脚本获得了Uber的亚马逊云服务、谷歌云服务、OneLogin、Slack等关键系统服务的访问权限。网络安全研究人员分析表明,黑客获取的授权登录信息源自于恶意信息窃取软件,且至少有两名Uber员工感染了Raccoon和Vidar信息窃取软件。

LAPSUS$黑客组织具有朝鲜背景,通常瞄准科技公司实施攻击。今年以来,LAPSUS$已经入侵了微软、思科、三星、英伟达等世界知名公司的内部网络。