Sonatype在PyPI存储库中发现多个可窃取AWS凭据的包
发布时间 2022-06-271、Sonatype在PyPI存储库中发现多个可窃取AWS凭据的包
据媒体6月25日报道,PyPI存储库中存在多个恶意Python包,可用来窃取AWS凭证等信息。根据Sonatype的说法,恶意程序包分别是loglib-modules、pyg-modules、pygrata、pygrata-utils和hkg-sol-utils。其中,loglib-modules和pygrata-utils包可窃取AWS凭证、网络接口信息和环境变量,并将它们导出到远程端点hxxp://graph.pygrata[.] com:8000//upload。像pygrata这样的包本身不包含恶意代码,但需要使用上述两个模块之一作为依赖项。目前,这些恶意包已被删除。
https://securityaffairs.co/wordpress/132598/hacking/pypi-malicious-packages-2.html
2、日本TB Kawashima的子公司遭到LockBit的勒索攻击
据6月25日报道,日本汽车零部件制造商丰田纺织旗下的TB Kawashima宣布,其子公司遭到了网络攻击。攻击发生在上周四,TB Kawashima的泰国销售公司被攻击,该公司关闭了攻击者访问的设备。公司称其生产和销售活动没有受到影响,所有业务都在正常运行,但其网站已关闭。虽然目前没有关于这次攻击的官方信息,但LockBit团伙在6月17日宣布,他们对TB Kawashima的攻击事件负责。6月25日,攻击者已经开始泄露被盗的数据。
https://www.bleepingcomputer.com/news/security/automotive-fabric-supplier-tb-kawashima-announces-cyberattack/
3、谷歌因传播不可靠信息被俄罗斯监管机构罚款120万美元
媒体6月24日称,俄罗斯电信监管机构Roskomnadzor对谷歌处以6800万卢布(约合120万美元)的罚款。此次罚款的原因是谷歌帮助传播有关战争的不可靠信息,并且没有将这些信息从它的平台上删除。该机构表示,谷歌的YouTube在线视频共享平台“故意助长”传播不准确的信息,从而诽谤俄罗斯。由于一再未能限制对俄罗斯禁止信息的访问,谷歌现在还面临高达其在俄罗斯年营业额的10%的罚款。
https://www.bleepingcomputer.com/news/google/russia-fines-google-for-spreading-unreliable-info-defaming-its-army/
4、CrowdStrike披露滥用Mitel VOIP漏洞的攻击的详情
CrowdStrike在6月23日披露了滥用Mitel VOIP中新漏洞的勒索攻击活动。此次被利用的是一个远程代码执行漏洞(CVE-2022-29499,CVSS评分为9.8),由于诊断脚本的数据验证不足导致的,可被未经身份验证的远程攻击者用来通过特制请求注入命令。漏洞的利用涉及两个GET请求,一个发送到设备上,目标是一个PHP文件的"get_url"参数;第二个在设备上生成,导致命令注入,向攻击者的基础设施执行HTTP GET请求。研究人员表示,网上有超过21000台可公开访问的Mitel设备,其中大部分位于美国,其次是英国。
https://www.crowdstrike.com/blog/novel-exploit-detected-in-mitel-voip-appliance/
5、研究团队发现Bronze Starlight团伙近期的攻击活动
6月23日,Secureworks的研究团队公开了APT组织Bronze Starlight(APT10)近期的攻击活动。至少从2015年开始,攻击者就使用HUI Loader在目标主机上加载远程访问木马。而此次活动中,攻击者在入侵后会安装勒索软件,如LockFile、Atom Silo、Rook、Night Sky、Pandora和LockBit 2.0等。分析表明,BRONZE STARLIGHT的主要动机可能是窃取知识产权或进行间谍活动,而非经济利益,勒索软件可能是为了分散目标的注意力。被攻击的目标包括西和美国的制药公司、美国媒体机构、立陶宛和日本的电子元件设计和制造商等。
https://www.secureworks.com/research/bronze-starlight-ransomware-operations-use-hui-loader
6、Kaspersky发布关于8个主要勒索团伙的TTP的分析报告
Kaspersky在6月23日发布了关于8个主要勒索团伙的TTP的分析报告。报告中包括的勒索团伙分别为Conti/Ryuk、Pysa、Clop(TA505)、Hive、Lockbit2.0、RagnarLocker、BlackByte和BlackCat。攻击者通常试图找到错误配置和存在漏洞的面向公众的应用程序,以便获得初始访问权,常见的目标包括微软Exchange服务器、Sharepoint服务器、VPN和其它网络服务;最常被利用的漏洞是ProxyShell 漏洞CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。
https://securelist.com/modern-ransomware-groups-ttps/106824/
京公网安备11010802024551号