绿盟科技威胁周报(2022.12.26-2023.01.01)

一、 威胁通告

  • Exchange Server OWASSRF漏洞(CVE-2022-41080、CVE-2022-41082)

【发布时间】2022-12-30 13:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现国外安全团队公开披露了对Exchange Server漏洞的利用链的技术细节。经过身份认证的远程攻击者利用Exchange Server权限提升漏洞(CVE-2022-41080),在端点Outlook Web Application (OWA)获得在系统上下文中执行PowerShell的权限。之后具有执行PowerShell权限的攻击者通过Exchange Server远程代码执行漏洞(CVE-2022-41082)在目标系统上执行任意代码。以上利用链可绕过微软官方为\”ProxyNotShell\”所提供的缓解措施。请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Linux Kernel多个安全漏洞(CVE-2022-47939、CVE-2022-47940、CVE-2022-47942)

【发布时间】2022-12-27 09:00:00 GMT

【概述】

2022年12月26日,绿盟科技CERT监测到网上发布了Linux Kernel中的多个安全漏洞,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. APT组织CONFUCIUS针对巴基斯坦IBO反恐行动的网络攻击

【行业】国家

【概述】

受多方因素影响,巴基斯坦长期遭受严重的地方恐怖主义威胁,该国一直以来也将反恐作为重要的国家安全战略。2022年下半年,巴基斯坦安全部队在俾路支省、开伯尔区、北瓦济里斯坦区等地展开了多次基于情报的行动(intelligence-based operation, IBO),突袭并击毙了多名恐怖分子。巴基斯坦方面近期在反恐方面的高调表现引发了印度方面的关注。绿盟科技伏影实验室捕获了一起针对巴基斯坦木尔坦地区武装力量的网络攻击事件,攻击者以木尔坦的罗德兰区IBO行动报告为诱饵,尝试投递一种变种木马程序以控制受害者设备。绿盟科技伏影实验室经过分析,确认该事件的主导者为印度方面的APT组织Confucius。

【参考链接】

https://ti.nsfocus.com/security-news/IlOn0

 

  1. 朝鲜黑客组织BlueNoroff冒充日本风投和银行窃取数百万美元加密货币

【行业】金融

【概述】

朝鲜黑客组织“BlueNoroff”在创建70多个虚假域名并冒充银行和风险投资公司后窃取了数百万美元的加密货币。根据调查,大多数域名模仿日本风险投资公司,表明BlueNoroff对该国用户和公司数据的浓厚兴趣。直到几个月前,BlueNoroff组织还使用Word文档注入恶意软件。然而,他们最近改进了他们的技术,创建了一个新的Windows批处理文件,允许他们扩展恶意软件的范围和执行模式。

【参考链接】

https://ti.nsfocus.com/security-news/IlOn2

 

  1. 查尔斯湖纪念卫生系统遭遇勒索软件攻击导致270000名患者泄露

【行业】医疗

【概述】

查尔斯湖纪念卫生系统(LCMHS)披露了一项数据泄露,该数据泄露影响了其医疗中心的近27万名患者。LCMHS发布的数据泄露通知中写道:调查确定,未经授权访问我们的计算机网络的行为发生在2022年10月20日至10月21日之间,在此期间未经授权的第三方访问或获取了我们系统中的某些文件。我们审查了这些文件,并确定其中包含一些患者信息,其中可能包括患者姓名、地址、出生日期、病历或患者识别号、健康保险信息、付款信息和/或LCMH接受护理的有限临床信息也包括在内。未经授权的一方无法访问LCMH的电子病历。

【参考链接】

https://ti.nsfocus.com/security-news/IlOno

 

  1. IcedID僵尸网络滥用谷歌 PPC服务分发恶意软件

【行业】不区分行业

【概述】

在密切跟踪 IcedID 僵尸网络的活动后,研究人员发现其分发方法发生了一些重大变化。自 2022 年 12 月以来, 安全研究员检测到的名为TrojanSpy.Win64.ICEDID.SMYXCLGZIcedID变体滥用谷歌点击付费(PPC)广告,通过恶意广告攻击分发IcedID。像谷歌广告这样的广告平台使企业能够向目标受众展示广告,以提高流量和增加销售额。恶意软件分发者滥用同样的功能,使用一种被称为恶意广告的技术,其中选择的关键字被劫持,显示恶意广告,诱使毫无戒心的搜索引擎用户下载恶意软件。

【参考链接】

https://ti.nsfocus.com/security-news/IlOnu

 

  1. 俄亥俄州法院、警察局遭到 LockBit 勒索软件攻击

【行业】政府

【概述】

Therecord 网站披露,俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示,本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞,攻击者安装了名为 LockBit 的勒索软件,并要求支付赎金以获取某些文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlOnq

 

  1. 黑客利用PrivateLoader PPI服务分发窃取信息的RisePro恶意软件发起攻击

【行业】不区分行业

【概述】

PPI恶意软件下载服务PrivateLoader正被用于分发一种以前记录的名为RisePro的窃取信息恶意软件。安全研究员发现了这名新发现的盗窃者,此前它在一个名为俄罗斯市场的非法网络犯罪市场上发现了使用该恶意软件窃取的几组日志。RisePro是一个基于C++的恶意软件,据说与另一个被称为Vidar窃取者的窃取信息的恶意软件有相似之处,它本身就是2018年出现的代号为Arkei的窃取者的分支。

【参考链接】

https://ti.nsfocus.com/security-news/IlOme

 

  1. 黑客论坛出售4亿Twitter用户数据库

【行业】社交网络

【概述】

一名用户名Ryushi的用户在黑客论坛Breached兜售4亿Twitter用户的数据库,声称是利用Twitter API的漏洞抓取的,包括了电子邮件、用户名、姓名、粉丝数、创建日期和电话号码。这位用户公开了几位名人的样本,排在最前面的是美国民主党议员AOC(Alexandria Ocasio-Cortez)。黑客还建议Twitter或马斯克(Elon Musk)花钱购买该数据库,威胁他们将会面临因数亿用户数据被抓取而面临欧盟的GDPR巨额罚款,表示如果Twitter购买的话将会停止出售。

【参考链接】

https://ti.nsfocus.com/security-news/IlOmg

 

  1. 黑客在云存储漏洞中窃取了Lastpass保险库数据

【行业】互联网

【概述】

据Bleeping Computer报道,LastPass当地时间12月22日透露,攻击者在今年早些时候使用2022年8月事件中窃取的信息侵入其云存储,窃取了客户的加密密码库数据。此前,该公司首席执行官卡里姆·图巴(Karim Toubba)曾公开承认遭黑客攻击致数据泄露,但他表示黑客仅获得了部分客户的关键信息,客户的密码仍被安全加密。这是一年内LastPass发生的两次因云存储漏洞而发生的安全事件。

【参考链接】

https://ti.nsfocus.com/security-news/IlOlo

 

  1. 昆士兰理工大学遭遇勒索软件袭击

【行业】学校

【概述】

一个勒索软件袭击了昆士兰科技大学(QUT),在过去的5小时里,该学院的一部分网络瘫痪。这所第二大大学似乎受到了严重的打击,因为校园里所有的打印机都在显示勒索软件。这家科技学院的大学校长玛格丽特·希尔(Margrett Sheil)证实了这一事件,她自己的办公室打印机从周五凌晨开始停止工作。

【参考链接】

https://ti.nsfocus.com/security-news/IlOlq

 

  1. Okta私有GitHub存储库遭攻击导致源代码泄露

【行业】互联网

【概述】

近日,知名身份认证管理解决方案提供商Okta表示,其私有GitHub存储库在本月遭到黑客攻击,Okta的源代码遭窃取。GitHub 警告 Okta 有黑客对其代码存储库进行了“可疑访问”,并确定该黑客复制了与该公司 Workforce Identity Cloud (WIC) 相关的代码,WIC 是一种面向企业的访问和身份管理工具,使员工和合作伙伴在任何地方工作。Okta在本周的一份中表示,虽然黑客窃取了Okta的源代码,但并未访问Okta服务或客户数据。Okta的“HIPAA、FedRAMP或DoD客户”不受影响,并且该公司“不依赖其源代码的机密性作为保护其服务的手段”。因此,Okta表示,其客户无需执行任何操作。

【参考链接】

https://ti.nsfocus.com/security-news/IlOlI

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author