首页 > 安全研究 > 安全通报 > 安全简讯

Resecurity表示2022年Q2针对执法机构的攻击事件增加

发布时间 2022-07-08

1、Resecurity表示2022年Q2针对执法机构的攻击事件增加


7月6日,Resecurity发布报告称在2022年第二季度,针对执法机构的攻击事件增加。通常,攻击者会使用社工攻击策略,最近的趋势是针对主要的技术公司和在线服务(如 Apple、Facebook (Meta)、Snapchat、Discord)发送伪造的传票和EDR(紧急数据请求),来收集有关其目标的信息。Resecurity在多个暗网市场中发现出售警察的帐户和凭据(电子邮件、VPN和SSO等)的情况。研究表明,此类恶意活动在拉丁美洲、东南亚国家和离岸司法管辖区尤为明显。


https://resecurity.com/blog/article/cybercriminals-are-targeting-law-enforcement-agencies-worldwide


2、Cisco发布安全更新,修复多个产品中的10个漏洞


Cisco在7月6日发布安全更新,修复了涉及多款产品的10个漏洞。其中,最严重的是影响Cisco Expressway系列和Cisco TelePresence Video Communication Server(VCS)的漏洞(CVE-2022-20812和CVE-2022-20813),可被远程攻击者用来覆盖任意文件或对目标设备进行空字节中毒攻击。其次,是Smart Software Manager On-Prem中的一个漏洞(CVE-2022-20808),可被经过身份验证的远程攻击者用来执行拒绝服务(DoS)攻击。


https://thehackernews.com/2022/07/cisco-and-fortinet-release-security.html


3、与朝鲜相关的勒索软件Maui针对美国各地的医疗机构


7月6日,美国FBI、CISA和财政部发布联合咨询,称与朝鲜有关的攻击者利用勒索软件Maui攻击其医疗保健和公共卫生(HPH)组织。该活动至少自2021年5月开始,攻击者利用Maui加密负责医疗服务的服务器,包括电子健康记录服务、诊断服务、成像服务和内网服务。Stairwell在2022年4月收集了第一个Maui样本,但所有Maui的编译时间戳均为2021年4月15日。与其它勒索软件不同的是,Maui不会在被加密的系统上留下勒索字条。这些机构表示,攻击可能还会继续,并为HPH组织提供了一系列措施来准备、预防和应对此类事件。


https://www.cisa.gov/uscert/ncas/current-activity/2022/07/06/north-korean-state-sponsored-cyber-actors-use-maui-ransomware


4、SecuInfra透露Bitter继续攻击孟加拉国的军事机构


SecuInfra在7月5日透露其在近期发现,APT组织Bitter(也称T-APT-17)针对孟加拉国的攻击活动。该团伙至少从2013年就开始活跃,主要针对巴基斯坦。最新的攻击是在2022年5月中旬开始的,始于一个武器化的Excel文档,该文档可能通过鱼叉式钓鱼邮件分发的,邮件在被打开时会利用Microsoft公式编辑器漏洞(CVE-2018-0798)从远程服务器中下载下一阶段的二进制文件,下载的payload是ZxxZ,攻击还利用了恶意软件BitterRAT。


https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/


5、Unit 42发现黑客滥用红队渗透工具BRc4的攻击活动


据媒体7月6日报道,Unit 42发现有一个包含与Brute Ratel C4(BRc4)相关的payload恶意软件样本被上传到VirusTotal数据库。BRc4由安全研究人员Chetan Nayak开发,类似于Cobalt Strike,是最新上市的红队和对抗性攻击模拟工具。该样本是从斯里兰卡上传的,伪装成Roshan Bandara的个人简历("Roshan_CV.iso"),但实际上是一个光盘镜像文件。当目标双击该文件时,会将其挂载为一个Windows驱动器,其中包含一个看似无害的Word文档。启动后,它会在目标设备上安装BRc4,并与远程服务器建立通信。通过打包方式,研究人员将该活动归因于APT29。


https://thehackernews.com/2022/07/hackers-abusing-brc4-red-team.html


6、Intezer发布关于新Linux恶意软件OrBit的分析报告


7月6日,Intezer披露了一种全新的Linux恶意软件OrBit,这标志着针对流行操作系统的攻击活动的增长。报告指出,该恶意软件实现了先进的绕过技术,并通过hook关键功能在设备上获得持久性,通过SSH为攻击者提供远程访问功能,收集凭证并记录TTY命令。其功能很像Symbiote,旨在感染目标上所有正在运行的进程。但后者利用LD_PRELOAD环境变量来加载共享对象,而OrBit采用了两种不同的方法:将共享对象添加到加载程序使用的配置文件中;修改加载程序本身的二进制文件来加载恶意共享对象。


https://www.intezer.com/blog/incident-response/orbit-new-undetected-linux-threat/

上一篇 下一篇