绿盟科技威胁周报(2023.07.03-2023.07.09)

一、热点资讯

1.与伊朗有关的魅力猫APT增强了Powerstar后门

【标签】PowerShell

【概述】

与伊朗有关的Charming Kitten(又称APT35、Phosphorus、Newscaster和Ajax Security Team)组织在一次针对特定目标的网络钓鱼攻击中使用了更新版本的PowerShell后门POWERSTAR。Charming Kitten组织在2014年曾一度成为新闻焦点,当时的专家发布了一份报告,描述了伊朗黑客组织利用社交媒体组织的最为复杂的网络间谍活动。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRsB

 

2.曼彻斯特大学遭勒索软件攻击后NHS数据泄露

【标签】医疗

【概述】

曼彻斯特大学(University of Manchester,简称UoM)遭受了勒索软件攻击,导致与英国国民医疗服务体系(NHS)相关的超过一百万名患者的数据被窃取。这些数据包括接受治疗的患者的NHS编号、其邮政编码的前三个字母,以及遭受恐怖袭击或寻求重大创伤治疗的患者的信息。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRsH

 

3.攻击者使用网络钓鱼和勒索软件,针对新加坡企业继续攻击

【标签】不区分行业

【概述】

根据新加坡网络安全局(CSA)的一份新报告,尽管有迹象表明新加坡的网络环境正在进行改善,但在2022年,网络钓鱼攻击行为和勒索软件仍然对新加坡的组织和个人的信息安全构成重大威胁。根据新加坡网络景观(SCL)公司2022年与2021年处理的3100起事件相比,去年向新加坡网络应急小组(SingCert)报告了约8500起网络钓鱼攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRtF

 

4.新手Akira勒索软件通过转向Linux系统加速发展势头

【标签】Akira

【概述】

研究人员发现,初出茅庐的Akira勒索软件组织正在加速发展并扩大其目标基础,紧随其他网络犯罪组织之后增加了攻击Linux系统的能力,这表明其活动正变得越来越复杂。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRtj

 

5.Andariel的愚蠢错误和一个新的恶意软件家族

【标签】Andariel

【概述】

Andariel是臭名昭著的拉撒路组织的一部分。在最近一次不相关的调查中,我们偶然发现了这个活动,并决定深入挖掘一下。我们发现了一个以前未记录的恶意软件家族以及Andariel的https集的新成员。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRtr

 

6.二维码钓鱼邮件开始流行

【标签】不区分行业

【概述】

越来越多接受过安全意识培训的员工不再轻易点击邮件中的可疑链接,但是网络钓鱼攻击者又找到了新的方法:二维码钓鱼邮件。近日,安全公司Inky的研究人员发现,网络钓鱼攻击者开始发送大量包含二维码图片的钓鱼邮件,这些电子邮件将二维码嵌入邮件正文,以成功绕过安全保护,并可针对目标进行某种程度的定制,从而更容易欺骗收件人。研究人员表示,在许多情况下,这些钓鱼邮件来自收件人工作的企业内部被盗电子邮件账户,这种来自内部(可信)邮件地址的钓鱼邮件会进一步提高攻击的成功率。Inky检测到的二维码钓鱼邮件的主题大多是要求员工解决安全问题(下图),例如缺少双因素身份验证注册或更改密码,并警告如果收件人未能及时操作,可能会产生后果。上当受骗的员工会用手机扫描邮件中的二维码并被引导至一个伪装成该公司合法站点的钓鱼网站,用户在钓鱼网站输入的账户密码会被发送给攻击者。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRuf

 

7.Ghostscript中的漏洞可能允许恶意文档执行系统命令

【标签】不区分行业

【概述】

Ghostscript是Adobe公司PostScript文档组合系统及PDF文件格式的免费开源实现,它读取PostScript程序代码,该代码描述了如何在文档中构建页面,并将其转换为更适合显示或打印的格式。目前Ghostscript的最新版本为10.01.2,在此版本之前的产品中存在一个安全漏洞,被标记为CVE-2023-36664。经过构造的恶意文档不仅能够利用该漏洞创建文本和图形页面,而且还能够将系统命令发送至Ghostscript渲染引擎从而执行命令。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRud

 

8.思科警告称存在漏洞,攻击者可以利用该漏洞破解流量加密

【标签】思科

【概述】

思科向客户发出警告,称某些数据中心交换机型号存在一种高危漏洞,攻击者可以利用该漏洞篡改加密流量。该漏洞被跟踪编号为CVE-2023-20185,是在对数据中心思科Nexus 9000系列Fabric交换机的ACI Multi-Site CloudSec加密功能进行内部安全测试时发现的。该漏洞仅影响思科Nexus 9332C、9364C和9500脊柱交换机(最后一款配备思科Nexus N9K-X9736C-FX线卡),且仅在它们处于ACI模式、属于Multi-Site拓扑结构、启用了CloudSec加密功能并运行14.0固件及更高版本时才会受到影响。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRuv

 

9.威胁行为者利用Progress Telerik漏洞攻击多个美国政府IIS服务器

【标签】IIS服务器

【概述】

从2022年11月到2023年1月初,网络安全和基础设施安全局(CISA)和编写组织在一个联邦民用行政机构发现了威胁指标(IOCs)。分析人员确定多个网络威胁行为者,包括高级持续性威胁(APT)行为者,能够利用Progress Telerik用户界面(UI)的.NET反序列化漏洞(CVE-2019-18935)进入该机构的Microsoft Internet Information Services(IIS)Web服务器。成功利用此漏洞可实现远程代码执行。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRtl

 

  1. 日本最大港口名古屋港遭遇勒索软件攻击

【标签】港口

【概述】

日本最大的港口名古屋港遭受勒索软件攻击,其运营受到严重影响。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRtX

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author