一、 威胁通告
-
ESXiArgs勒索事件分析与处置手册(CVE-2021-21974)
【发布时间】2023-02-16 09:00:00 GMT
【概述】
绿盟科技CERT近期监测到,欧洲多个安全机构发布了ESXiArgs勒索病毒的攻击预警,该病毒利用2021年披露的ESXi远程溢出漏洞(CVE-2021-21974)进行传播,根据网络空间测绘平台的数据统计,目前全球已有1800余台主机被感染,且绝大部分均分布于欧美等国家。
【链接】
-
微软2月安全更新多个产品高危漏洞(CVE-2023-21823、CVE-2023-21715、CVE-2023-23376)
【发布时间】2023-02-15 23:00:00 GMT
【概述】
2月15日,绿盟科技CERT监测到微软发布2月安全更新补丁,修复了75个安全问题,涉及Microsoft Exchange Server、Microsoft Word、Windows Graphics Component、Microsoft Publisher等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有9个,重要(Important)漏洞有66个,其中包括3个0day漏洞.
【链接】
https://nti.nsfocus.com/threatNotice
二、 热点资讯
1. 加州医疗集团勒索软件泄露影响330万人
【概述】
据南加州最大的医疗集团之一Regal Medical Group报道,在一次勒索软件攻击中,超过330万南加州人的个人健康信息被盗。Regal于2月1日向美国卫生与公众服务部报告了这起黑客事件,称其影响了多个附属医疗集团,包括湖畔医疗组织(Lakeside medical Organization)、奥兰治县附属医生(affiliated Doctors of Orange County)和大科维纳医疗集团(Greater Covina medical Group)。
【参考链接】
2. 俄罗斯WhisperGate黑客使用恶意软件攻击乌克兰
【概述】
安全研究人员说,他们最近观察到一个俄罗斯黑客团队,他们是破坏性的WhisperGate恶意软件网络攻击的幕后黑手,以一种新的信息窃取恶意软件为手段攻击乌克兰实体。TA471与WhisperGate有关,这是一种破坏性的数据清除恶意软件,在2022年1月针对乌克兰目标的多个网络攻击中使用。该恶意软件伪装成勒索软件,但使目标设备完全无法操作,即使支付赎金要求也无法恢复文件。
【参考链接】
3. 以色列Technion大学遭遇勒索软件攻击
【概述】
以色列Technion大学周日遭遇勒索软件攻击,迫使该大学主动屏蔽所有通信网络。一个自称为DarkBit的新组织声称对此次袭击负责。以色列顶尖大学之一Technion在推特上写道:Technion正在遭受网络攻击。攻击的范围和性质正在调查中。
【参考链接】
4. WIP26针对中东电信服务提供商发起攻击
【概述】
作为可疑情报收集任务的一部分,中东的电信服务提供商正成为一名以前未经证实的威胁行为者的目标。研究人员分享的一份报告中表示:WIP26严重依赖公共云基础设施,试图通过使恶意流量看起来合法来逃避检测。这包括滥用Microsoft 365 Mail、Azure、Google Firebase和Dropbox进行恶意软件交付、数据过滤和指挥控制(C2)。攻击中使用的初始入侵向量需要通过WhatsApp消息对员工进行精确定位,该消息包含指向所谓良性存档文件的Dropbox链接。实际上,这些文件包含一个恶意软件加载器,其核心功能是部署基于.NET的自定义后门,如CMD365或CMDEmber,这些后门利用Microsoft 365 Mail和Google Firebase for C2。
【参考链接】
5. ESXiArgs勒索软件在欧洲国家达到500多个新目标
【概述】
超过500台主机最近被ESXiArgs勒索软件毒株危害,其中大多数位于法国、德国、荷兰、英国和乌克兰。这一发现来自攻击表面管理公司Censys,该公司发现两台主机的勒索笔记惊人相似,可追溯到2022年10月中旬,当时ESXi 6.5和6.7版本即将到期。第一批感染可追溯到2022年10月12日,比2023年2月初该运动开始获得关注的时间要早得多。然后在2023年1月31日,据说这两个主机上的赎金记录已更新为与当前浪潮中使用的版本相匹配的修订版本。
【参考链接】
6. 黑客利用恶意软件针对亚美尼亚实体发起攻击
【概述】
在阿塞拜疆和亚美尼亚之间日益紧张的局势中,发现了针对亚美尼亚实体的恶意活动。活动中使用的恶意软件旨在远程控制受损机器并执行监视操作。分析表明,这些攻击者的目标是亚美尼亚目标的公司环境。
【参考链接】
7. 百事可乐称窃取信息的恶意软件窃取了敏感数据
【概述】
根据发送给消费者的通知,克鲁克人已经侵入了百事瓶装风险投资公司的网络,并在部署了窃取信息的恶意软件后,窃取了敏感的个人和财务信息。违约发生在2022年12月23日或前后。据我们所知,美国最大的百事可乐饮料制造商和分销商百事瓶装风险投资公司直到1月10日才发现这一未经授权的活动。首席执行官在一封违约通知信(PDF)中写道:我们迅速采取行动,控制了事件并保护了我们的系统。初步调查确定,入侵者访问了内部IT系统,安装了恶意软件,并下载了受感染系统中包含的特定信息。根据通知,这些信息包括姓名、家庭地址、电子邮件地址、政府颁发的身份证明(包括驾照号码、社会保险号码和护照信息)。此外,骗子窃取了一些财务信息,包括有限数量的人的密码、PIN码和其他访问号码,以及数字签名、福利和就业信息、健康保险索赔和保单号码。
【参考链接】
8. 黑客使用新的IceBreaker恶意软件攻击博彩公司
【概述】
黑客们近期一直在攻击在线博彩公司,他们使用了一种似乎前所未见的后门,研究人员将其命名为IceBreaker(破冰船)。这种攻击方法依赖这种手段:黑客以面临问题的用户为幌子,欺骗客户服务工作人员打开他们发送的恶意截图。这种攻击至少从2022年9月以来就出现了。其背后的组织依然身份不明,只有依稀模糊的线索指明其源头。研究人员认为,IceBreaker后门是一个新的高级威胁团伙的杰作,他们使用了一种非常特别的社会工程伎俩技术。
【参考链接】
9. TgToxic恶意软件专门针对东南亚Android用户
【概述】
研究人员发现了自2022年7月以来针对中国台湾、泰国和印度尼西亚的Android手机用户的持续恶意软件活动,并将其命名为TgToxic。该恶意软件窃取用户的凭证和资产,如数字钱包中的加密货币,以及银行和金融应用程序中的资金。通过分析恶意软件的自动化功能,研究人员发现了攻击者滥用了合法的测试框架Easyclick,为点击和手势等功能编写了基于javascript的自动化脚本。研究人员发现攻击者的目标是通过嵌入多个虚假应用程序的银行木马,趋势科技根据其特殊的加密文件名将其检测为AndroidOS_TgToxic,该木马从金融和银行应用程序(如加密货币钱包、手机上官方银行应用程序的凭据和存款)中窃取受害者的资产。虽然之前针对的是中国台湾的用户,但在撰写本文时,研究人员已经观察到针对泰国和印度尼西亚用户的欺诈活动和网络钓鱼。建议用户小心打开来自未知电子邮件和消息发送者的嵌入链接,并避免从第三方平台下载应用程序。
【参考链接】
10. Clop利用 GoAnywhere MFT零日漏洞窃取数据
【概述】
据BleepingComputer 2月10日消息,Clop 勒索软件组织最近利用 GoAnywhere MFT 安全文件传输工具中的零日漏洞,从 130 多个企业组织中窃取了数据。该安全漏洞被追踪为 CVE-2023-0669,攻击者能够在未修补的 GoAnywhere MFT 实例上远程执行代码,并将其管理控制台暴露在互联网中。
【参考链接】
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。