惠普再次警告部分SSD将在运行4万小时后出现故障;黑客通过劫持路由器DNS传播Oski木马

发布时间 2020-03-25

1.GE供应商遭黑客入侵导致员工信息泄露



通用电气(GE)表示在一家服务提供商遭到黑客入侵后其现任、前任员工以及相关受益人的个人身份信息泄露。GE在向加利福尼亚州总检察长办公室提交的数据泄露通知中称,其服务提供商佳能业务流程服务有限公司(Canon Business Process Services,Inc.)的一个邮箱账户在2月3日至14日之间遭未授权访问,该账户包含部分GE员工和相关受益人的文件,例如姓名、地址、社会安全号码、银行账户号码、工资表、驾照、护照、生日、结婚证明等,GE的系统未受到事件影响。GE没有透露受影响的具体人数,Canon表示将通过一家名为Experian的公司免费为受影响的个人提供两年的身份保护和信用监控服务。


原文链接:

https://www.bleepingcomputer.com/news/security/tech-giant-ge-discloses-data-breach-after-service-provider-hack/


2.FireEye警告针对ICS的黑客工具正在泛滥



FireEye安全研究人员警告称,针对工业控制系统(ICS)的黑客工具正在泛滥,这降低了攻击者的准入门槛,并增加了工业企业的风险。在最近的一项研究中,FireEye分析了近年来发布的具有针对ICS功能的所有黑客工具,虽然一些工具早在2004年就已创建,但大多数都是在过去10年中开发的。FireEye表示大多数黑客工具都与供应商无关,主要扫描ICS网络上的通用指标,但也有针对特定ICS供应商开发的工具,这些工具中60%都是针对西门子。根据FireEye的说法,大多数ICS黑客工具都是基于当今三种最流行的渗透测试框架模块-Metasploit、Core Impact和Immunity Canvas。


原文链接:

https://www.zdnet.com/article/fireeye-warns-about-the-proliferation-of-ready-made-ics-hacking-tools/


3.WildPressure攻击活动,针对中东工业组织



卡巴斯基实验室的安全专家发现针对中东工业组织的APT攻击活动WildPressure。研究人员在2019年8月首次发现了WildPressure,当时研究人员检测到一个新的恶意软件Milum。Milum是一个成熟的C++木马,该恶意软件与已知的任何攻击活动均没有相似的代码,也没有攻击目标上的交叉。实际上,研究人员仅在一个国家中发现了3个独立的样本。当前仍不清楚攻击者传播Milum木马的方式,并且无法将其归因,但研究人员认为攻击者可能会在其它攻击活动中重复使用该木马。


原文链接:

https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/


4.黑客通过劫持路由器DNS传播Oski木马



在最近的攻击活动中,黑客通过劫持路由器的DNS设置在用户的Web浏览器上显示虚假的COVID-19警报并分发信息窃取木马Oski。目前尚不知道攻击者如何获得对路由器的访问和更改其DNS配置,但可能是通过弱密码来进行远程访问。具体来说,攻击者将路由器的DNS服务器更改为109.234.35.230和94.103.82.249,当Windows运行NCSI探针来检查计算机是否已连接到互联网时,恶意DNS服务器将其发送到恶意IP 176.113.81.159,该IP上的网站要求用户下载并安装恶意的“Emergency-COVID-19 Informator”或“COVID-19 Inform App”,该程序实际上是信息窃取木马Oski。


原文链接:

https://www.bleepingcomputer.com/news/security/hackers-hijack-routers-dns-to-spread-malicious-covid-19-apps/


5.微软发布Astaroth木马新攻击链的分析报告



根据微软Defender ATP团队的一份研究报告,Astaroth木马在2月初变得活跃,并且攻击者引入了新技术使攻击链更加隐蔽。Astaroth现在抛弃了依赖Windows管理工具命令行(WMIC)的相关逃避技术,转向滥用备用数据流(ADS)来隐藏恶意荷载以及滥用合法进程ExtExport.exe(一种非常不常见的攻击媒介)来加载有效荷载。攻击链始于葡萄牙语的电子邮件,邮件中包含指向托管存档文件的URL链接,文件中包含诱导性的LNK文件,点击时LNK文件将运行混淆的BAT命令。BAT命令调用explorer.exe来运行JavaScript文件,并使用GetObject技术在内存中运行更大的主JavaScript,然后主脚本调用BITSAdmin的多个实例从C2下载多个二进制Blob,并结合三个Blob形成并加载第一阶段恶意代码,最后读取ADS流并解密为Astaroth的DLL,反射加载到userinit.exe中。在这个过程中Astaroth不会接触磁盘,直接加载到内存中。


原文链接:

https://www.microsoft.com/security/blog/2020/03/23/latest-astaroth-living-off-the-land-attacks-are-even-more-invisible-but-not-less-observable/


6.惠普再次警告部分SSD将在运行4万小时后出现故障



惠普再次警告其客户,某些串行连接的SCSI固态硬盘会在运行4万小时(相当于4年206天16个小时)后出现故障,数据和硬盘均无法恢复。该公司于2019年11月发布了类似的公告,当时部分SSD在运行32768小时后发生故障。这一次受影响的SSD型号包括EK0800JVYPN、EO1600JVYPP、MK0800JVYPQ和MO1600JVYPR,受影响的产品包括多种HP服务器和存储产品,如HP ProLiant、Synergy、Apollo 4200等。HPE估计,未打补丁的SSD最早将在2020年10月开始出现故障,建议用户尽快应用固件更新。


原文链接:

https://www.bleepingcomputer.com/news/security/hpe-warns-of-new-bug-that-kills-ssd-drives-after-40-000-hours/