绿盟威胁情报月报-2023年4月

4月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告。

另外,本次微软共修复了7个Critical级别漏洞,90个Important 级别漏洞,(请补充)个Moderate级漏洞,其中包括1个0 day漏洞。强烈建议所有用户尽快安装更新。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

2022年04月绿盟科技安全漏洞库共收录359个漏洞, 其中高危漏洞28个,微软高危漏洞12个。

 

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2023.04.30

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

  1. Money Message 勒索软件团伙声称已经入侵了 IT 巨头 MSI

【标签】Money Message

【时间】2023-04-07

【简介】

近日,台湾跨国信息技术公司MSI (Micro-Star International)遭到勒索软件团伙Money Message的攻击。Micro-Star国际又名MSI设计,制造,并为美国,加拿大和国际的客户销售主板和图形卡。MSI总部位于台湾台北。

【参考链接】

https://ti.nsfocus.com/security-news/IlOO3

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. CISA敦促修复被利用来部署勒索软件的Backup Exec错误

【标签】Covenant

【时间】2023-04-12

【简介】

一种新的ALPPV(又名黑猫勒索软件)已被发现并以UNC4466的ID进行追踪。此勒索软件附属公司使用Veritas Backup Exec安装,易受CVE-2021-27876、CVE-2021-207877和CVE-221-2787878的攻击。然而,这些CVE仅用于初始访问。

【参考链接】

https://ti.nsfocus.com/security-news/IlOPf

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 美国官员调查军事情报泄露

【标签】

【时间】2022-04-18

【简介】

美国高级官员正在调查一起军事情报泄露事件。档案中这种非同寻常的细节揭示了美国是如何监视盟友和敌人的。这让美国官员及其外国盟友感到震惊,有时甚至愤怒,因为他们试图弄清楚周六数十份机密情报文件是如何在互联网上出现的。这些高度机密的文件似乎至少部分来自五角大楼,提供了有关乌克兰冲突的战术细节,包括该国的军事实力。

【参考链接】

https://ti.nsfocus.com/security-news/IlOP1

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 乌克兰黑客入侵APT28领导人的电子邮件

【标签】APT28

【时间】2023-04-13

【简介】

电子邮件黑客允许黑客活动家提取高度敏感的文件,以及APT28领导人和俄罗斯GRU军官谢尔盖·亚历山德罗维奇·莫尔加乔夫中校的个人详细信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlOPt

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 韩国交易所GDAC遭到黑客攻击,价值超1300万美元数字货币被盗

【标签】GDAC

【时间】2023-04-13

【简介】

GDAC CEO Han Seunghwan于2023年4月10日发布公告,透露攻击发生在2023年4月9日上午,黑客控制了交易所的部分在线钱包。被盗的加密货币包括61个比特币、350.5 个以太币、1000 万个WEMIX游戏货币和价值220000美元的Tethers,整体价值约1390万美元。为应对此次攻击,GDAC已暂停所有充提业务,并启动紧急服务器维护,还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款。

【参考链接】

https://ti.nsfocus.com/security-news/IlOPx

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone

【标签】QuaDream

【时间】2023-04-13

【简介】

以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone

【参考链接】

https://ti.nsfocus.com/security-news/IlOPB

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Mandiant支持朝鲜黑客是3CX供应链黑客的幕后黑手

【标签】Mandiant

【时间】2023-04-13

【简介】

3CX表示,其电话系统被全球超过600万家公司使用,该公司聘请谷歌拥有的网络安全公司Mandiant调查上个月对其Windows和macOS用户的大规模供应链攻击。虽然调查仍在进行中,但今天公布的一项中期评估支持了先前关于黑客是朝鲜的评估。

【参考链接】

https://ti.nsfocus.com/security-news/IlOPH

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 研究人员发现新型新型Android银行木马-Chameleon

【标签】Chameleon

【时间】2023-04-17

【简介】

Cyble Research & Intelligence Labs(CRIL)根据恶意软件使用的命令,发现了一种新型的Android银行木马,我们称之为“变色龙”,主要是因为该恶意软件似乎是一种新的病毒,似乎与任何已知的木马家族无关。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQx

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. .一个名为Goldoson的新Android恶意软件通过官方Google Play商店的60个合法应用程序分发

【标签】Goldoson

【时间】2023-04-17

【简介】

一个名为Goldoson的新Android恶意软件通过官方Google Play商店的60个合法应用程序分发。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQp

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. NCR 在BlackCat勒索软件攻击后遭受 Aloha POS 中断

【标签】BlackCat

【时间】2023-04-17

【简介】

NCR在受到BlackCat / ALPHV团伙声称的勒索软件攻击后,其Aloha销售点平台遭受中断。
NCR 是一家美国软件和技术咨询公司,为餐厅、企业和零售商提供数字银行、POS 系统和支付处理解决方案。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQH

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. 黑客滥用Action1 RMM进行勒索攻击

【标签】Mandiant

【时间】2023-04-17

【简介】

安全研究人员警告说,网络犯罪分子越来越多地使用 Action1 远程访问软件在受感染的网络上进行持久性,并执行命令、脚本和二进制文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQB

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Vice Society勒索组织开发新的数据窃取工具

【标签】Vice Society

【时间】2023-04-17

【简介】

勒索软件组织Vice Society最近开发了一款复杂的PowerShell脚本,用于自动化从被攻击的网络中窃取数据。该工具的设计旨在隐蔽,不太可能触发安全软件的警报。且该脚本不需要任何参数,有一个主要的排除和包含列表来精确确定攻击哪些文件。该工具具有多进程和进程排队功能,以使其足迹小,活动隐蔽。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQz

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

 

  1. Remcos RAT恶意活动针对美国报税公司

【标签】Remcos RAT

【时间】2023-04-13

【简介】

微软警告说,在纳税日之前,针对美国会计和纳税申报表准备公司的新Remcos RAT活动。

【参考链接】

https://ti.nsfocus.com/security-news/IlOQP

【防护措施】

绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author