BadBox恶意软件僵尸网络连续扩张，全球熏染设备超19.2万台

首页 > 宁静研究 > 宁静通报 > 宁静简讯

BadBox恶意软件僵尸网络连续扩张，全球熏染设备超19.2万台

宣布时间 2024-12-20

1. BadBox恶意软件僵尸网络连续扩张，全球熏染设备超19.2万台

12月19日，BadBox Android 恶意软件僵尸网络在全球范围内连续扩张，熏染设备数量已凌驾192,000台，其中包罗知名品牌的智能电视和智能手机，如Yandex和海信。该恶意软件最初通过供应链攻击熏染不知名制造商的设备，现已扩展到在线销售的无名产物及其他知名品牌。其目标主要是获取经济利益，通过将设备酿成住宅署理或用于广告欺诈实现。尽管德国联邦信息宁静局（BSI）曾宣布捣毁BadBox的行动，切断了30,000台设备的通信，但BadBox仍在继续生长。BitSight研究人员发现，该恶意软件已安装在192,000台设备上，且数量仍在稳步增长。受影响的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。消费者应应用最新的固件宁静更新、将智能设备与要害系统隔离并在不使用时断开网络连接，以防范BadBox熏染。若设备无可用更新，建议断开网络或关闭设备。熏染迹象包罗过热、性能下降、处置器使用率高和网络流量异常。

https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/

2. 微软365 Office应用现“产物已停用”错误，源于许可证变换问题

12月19日，微软正在视察一个导致Microsoft 365 Office应用用户触发“产物已停用”错误的问题。据Reddit和微软社区网站上的陈诉，用户在Office应用中随机收到此错误，造成混乱和中断。问题源于管理员提倡的许可证变换，如移动用户到差异的许可组或更改用户订阅。当管理员删除并重新添加用户到许可证组、调整许可证或服务计划设置，或切换“最新版本的桌面应用法式”服务计划时，也会触发此问题。用户可以通过单击错误横幅上的“重新激活”按钮或退出并重新启动Microsoft 365应用来解决此问题。如果问题仍然存在，建议联系管理员检查订阅是否已过期。微软建议有未解决支持案例的用户提供使用Office许可诊断工具收集的诊断数据，并提示受影响的用户提供存储在%temp%/diagnostics目录中的日志。虽然微软尚未宣布修复时间表，但其工程团队正在积极视察此问题，并勉励受影响的用户和管理员关注其支持渠道以获取更新。

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-users-hit-by-random-product-deactivation-errors/

3. 亚马逊应用商店惊现BMI CalculationVsn恶意间谍软件

12月19日，在亚马逊应用商店中，一款名为“BMI CalculationVsn”的Android应用法式被发现实际上是一款恶意间谍软件，它伪装成健康工具窃取用户设备数据。该应用由迈克菲实验室的研究人员发现，并已被从商店中移除，但已安装的用户需手动删除并执行完整扫描以清除残留痕迹。该间谍软件由“PT Visionet Data Internasional”宣布，最初宣传为身体质量指数（BMI）计算器，但后台执行恶意操作，包罗启动屏幕录制服务、扫描已安装的应用法式以及拦截并收集短信，包罗一次性密码和验证码。鉴于此类危险应用仍能逃避合法应用商店的代码审查，Android用户应只安装来自知名刊行商的应用，并仔细检查所请求的权限，在安装后取消有风险的权限。同时，保持Google Play Protect活跃状态对于检测并阻止已知恶意软件至关重要。

https://www.bleepingcomputer.com/news/security/android-spyware-found-on-amazon-appstore-disguised-as-health-app/

4. Mirai恶意软件利用默认凭证熏染Session Smart路由器

12月19日，瞻博网络向客户发出警告，指出Mirai恶意软件正在利用默认凭证攻击并熏染Session Smart路由器，进而提倡漫衍式拒绝服务(DDoS)攻击。该恶意软件会扫描具有默认登录凭据的设备，并在获得访问权限后远程执行命令。瞻博网络建议客户立即更改所有Session Smart路由器上的默认凭据，并使用奇特且强的密码，同时保持固件更新，检察访问日志中的异常，并部署入侵检测系统和防火墙来增强宁静性。此外，瞻博网络还提醒管理员注意潜在的入侵指标，如扫描常见端口、SSH服务登录实验失败、出站流量激增等。已经熏染的路由器必须重新映像化才气重新上线。此前，瞻博网络也曾多次警告其产物中存在的远程代码执行漏洞和身份验证绕过漏洞，并宣布了相应的补丁。

https://www.bleepingcomputer.com/news/security/juniper-warns-of-mirai-botnet-targeting-session-smart-routers/

5. BeyondTrust遭网络攻击，发现宁静漏洞并紧急应对

12月19日，BeyondTrust是一家提供特权访问管理和宁静远程访问解决方案的网络宁静公司，在12月初遭受了网络攻击。威胁行为者入侵了其部门远程支持SaaS实例，获得了远程支持SaaS API密钥的访问权限，可以重置当地应用法式帐户的密码。BeyondTrust立即取消了API密钥，通知了受影响的客户，并暂停了这些实例。在视察过程中，发现了两个漏洞，其中一个为严重的命令注入漏洞CVE-2024-12356，另一个为中等严重性漏洞CVE-2024-12686。BeyondTrust已自动在所有云实例上应用了针对这两个缺陷的补丁，但运行自托管实例的用户需要手动应用宁静更新。目前尚不清楚威胁行为者是否利用这些漏洞来攻击下游客户，但CISA体现CVE-2024-12356已被利用于攻击。BeyondTrust体现，他们正在继续与独立的第三方网络宁静公司合作进行彻底视察，并专注于确保所有客户实例都得到全面更新和宁静保障。

https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/

6. FortiWLM曝严重漏洞：可远程接管设备

12月19日，Fortinet无线管理器（FortiWLM）中存在一个编号为CVE-2023-34990的严重漏洞，该漏洞允许远程攻击者通过特制Web请求执行未经授权的代码或命令，从而接管设备。此漏洞是一个相对路径遍历漏洞，评分为9.8，由Horizon3研究员Zach Hanley在2023年5月发现。然而，在长达十个月的时间里，该漏洞未得到修复，迫使Hanley在2024年3月果然披露了漏洞信息和证明代码（POC）。利用此漏洞，攻击者可以读取敏感日志文件，包罗管理员会话ID，进而劫持管理员会话并获取特权访问。该漏洞影响了FortiWLM版本8.6.0至8.6.5和8.5.0至8.5.4。尽管研究人员已发出警告，但由于缺乏CVE ID和宁静通告，用户并未意识到风险。直到2024年12月18日，Fortinet才宣布宁静通告称，该漏洞已在2023年9月底宣布的FortiWLM版本8.6.6和8.5.5中得到修复�？悸堑紽ortiWLM被广泛应用于政府机构、医疗保健组织、教育机构和大型企业等要害环境中，该漏洞的存在可能导致整个网络中断和敏感数据泄露。因此，强烈建议FortiWLM管理员及时应用所有可用更新。

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-fortiwlm-bug-giving-hackers-admin-privileges/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究