立陶宛多个组织的网站遭到Killnet团伙的DDoS攻击
发布时间 2022-06-301、立陶宛多个组织的网站遭到Killnet团伙的DDoS攻击
据媒体6月28日报道,立陶宛的国家税务监察局(STI)和会计服务提供商B1.lt等多个组织遭到了Killnet团伙的DDoS攻击。攻击发生在6月27日,该国国家网络安全中心(NKSC)证实,此次事件影响了国家安全数据传输网络以及私营和公共部门的组织。并表示,这种攻击很可能会持续几天,主要是针对通信、能源和金融领域。Killnet在一段视频中声称对此事负责,并补充说他们已经攻击了1652个网络资源,在39小时内实现了对立陶宛70%的网络基础设施的隔离。
https://www.hackread.com/russia-killnet-group-lithuania-sites-ddos-attacks/
2、Service Fabric存在漏洞FabricScape(CVE-2022-30137)
6月28日,Unit 42披露了微软Service Fabric中的漏洞FabricScape(CVE-2022-30137)的详情。该漏洞存在于诊断收集代理(DCA)组件中,可在配置为具有运行时访问权限的容器上被利用,虽然存在于两个操作系统平台上,但只能在Linux上被利用。微软透露称,该漏洞可被用来提权,并获得对资源主机SF节点和整个集群的控制权。6月14日,该漏洞已在Service Fabric 9.0累积更新中得到修复。
https://unit42.paloaltonetworks.com/fabricscape-cve-2022-30137/
3、Zscaler发现Evilnum团伙回归并针对英国和欧洲地区
Zscaler在6月27日称,Evilnum团伙已经回归,并在攻击活动中使用了新的战术、技术和程序。今年3月,研究人员发现其目标选择有重大变动,由原来的金融科技领域的组织转变为处理国际移民服务的政府间组织。攻击使用的诱饵文件通常都包含合规(compliance)一词,其模板注入阶段使用的基于宏的文档利用了VBA code stomping技术来绕过静态分析并防止逆向工程,并使用严重混淆的JavaScript来解密并安装payload。
https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets
4、Cyble称有超过90万个配置错误的Kubernetes暴露在网上
据6月29日报道,Cyble的一项分析发现,有超过900000个Kubernetes暴露在网上。Kubernetes是一个高度通用的开源容器编排系统,如果配置不正确,可被远程攻击者访问内部资源和私有资产。研究人员使用与攻击者类似的扫描工具和搜索查询来定位暴露的Kubernetes实例,发现其中65%(585000台)位于美国,9%位于德国,而荷兰和爱尔兰各占6%;暴露最多的TCP端口是443,其次是端口10250和6443。
https://www.infosecurity-magazine.com/news/misconfigured-kubernetes-exposed/
5、新木马ZuoRAT主要针对位于北美和欧洲的SOHO路由器
Lumen Black Lotus Labs在6月28日透露,自2020年以来,新的多级远程访问木马ZuoRAT已被用于通过位于北美和欧洲的SOHO路由器攻击远程工作人员。攻击者首先通过扫描已知的未修补漏洞对路由器的进行初始访问,然后安装Cobalt Strike beacons,以及2个自定义后门:基于C++的CBeacon,主要针对Windows系统;基于Go的GoBeacon,针对Linux和Mac系统。ZuoRAT还可以监控DNS和HTTPS流量,来劫持请求并使用生成的预设规则将目标重定向到恶意域,以干扰取证分析。
https://www.bleepingcomputer.com/news/security/new-zuorat-malware-targets-soho-routers-in-north-america-europe/
6、Symantec发布关于加载程序Bumblebee的分析报告
6月28日,Symantec发布了关于恶意软件加载程序Bumblebee的分析报告。通过分析最近涉及Bumblebee的攻击中使用的其它三个工具,研究人员将其与Conti、Quantum和Mountlocker 在内的许多勒索团伙联系起来。根据这些较早的攻击中使用的TTPs推测,Bumblebee可能是作为Trickbot和BazarLoader的替代加载程序推出的。此外,这些被调查的攻击的另一个共同点是合法软件使用的增加,ConnectWise、Atera、Splashtop和AnyDesk等远程桌面工具经常出现在此类攻击中。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/bumblebee-loader-cybercrime
京公网安备11010802024551号