某汽车供应商的系统在两周内被Hive等三个勒索团伙攻击
发布时间 2022-08-12
8月10日,Sophos透露某汽车供应商的系统在两周内被三个勒索团伙LockBit、Hive和BlackCat攻击。这三个攻击团伙都利用了相同的错误配置,即在管理服务器上暴露了远程桌面协议的防火墙规则。5月1日,Lockbit创建了两个批处理脚本(1.bat和2.bat),通过PsExec上分发了两个勒索软件的二进制文件,加密了19台主机上的文件;两个小时之后,Hive使用已安装在系统上的的合法软件PDQ Deploy来分发其勒索软件二进制文件,加密了16台主机的文件;5月15日,BlackCat利用被感染用户的凭据在6台主机上投放了两个勒索软件的二进制文件。
https://www.bleepingcomputer.com/news/security/automotive-supplier-breached-by-3-ransomware-gangs-in-2-weeks/
2、Cloudflare透露多名员工遭到与Twilio类似的钓鱼攻击
据媒体8月10日称,Cloudflare披露其至少有76名员工及其家属遭到了类似于针对Twilio的复杂钓鱼攻击。这次攻击大约与针对Twilio的攻击同时发生,来自4个与T-Mobile发行的SIM卡相关的电话号码,这些短信指向一个看似合法的域,其中包含关键字Cloudflare和Okta,试图诱使员工交出凭据。Cloudflare表示,有三名员工已上当受骗,但因为使用访问其应用程序所需的符合FIDO2标准的物理安全密钥,其内部系统并未被攻破。
https://thehackernews.com/2022/08/hackers-behind-twilio-breach-also_10.html
3、Volexity称Zimbra中漏洞被用来攻击上千台ZCS服务器
Volexity在8月10日报道,Zimbra身中的漏洞已被利用来入侵超过1000台Zimbra Collaboration Suite(ZCS)邮件服务器。据悉,攻击者早在6月底就开始在身份验证绕过漏洞(CVE-2022-37042)的帮助下,来利用ZCS远程代码执行漏洞(CVE-2022-27925)。Volexity认为,该漏洞的利用方式与2021年初发现的Microsoft Exchange 0day的利用方式一致。Zimbra在公告中并未透露漏洞利用情况, 但一名员工在公司论坛上建议用户立即安装补丁,称漏洞确实已在攻击中被利用。
https://www.bleepingcomputer.com/news/security/zimbra-auth-bypass-bug-exploited-to-breach-over-1-000-servers/
4、Cisco Meraki防火墙误报导致Microsoft 365服务中断
媒体8月10日报道,持续的中断影响了多个Microsoft 365服务,用户无法连接到Exchange Online、Microsoft Teams、Outlook桌面客户端和OneDrive for Business。虽然微软表示此事件仅影响了EMEA(欧洲、中东和非洲)地区的客户,但全球用户都在报告服务器连接和登录失败问题。初步调查发现,持续中断可能与Cisco Meraki防火墙入侵检测和预防(IDR)误报阻止Microsoft 365连接并发出Microsoft Windows IIS拒绝服务尝试警报有关。微软最终确认中断是Snort规则1-60381导致的,并表示Cisco Meraki已禁用了受影响的规则。
https://www.bleepingcomputer.com/news/microsoft/microsoft-365-outage-triggered-by-meraki-firewall-false-positive/
5、Unit 42发现新勒索软件BlueSky利用多线程快速加密
Unit 42在8月10日公开了新勒索软件家族BlueSky的技术细节。BlueSky勒索软件主要针对Windows主机,并利用多线程加密主机上的文件来加快加密速度。分析过程中研究人员从BlueSky的样本中发现了可以与Conti联系起来的代码指纹,特别是BlueSky的多线程架构与Conti v3的代码相似,网络搜索模块也是它的完全翻版。另一方面,BlueSky与Babuk更为相似,两者都使用ChaCha20,同时使用Curve25519来生成密钥。
https://unit42.paloaltonetworks.com/bluesky-ransomware/
6、Kaspersky发布关于恶意软件VileRAT的分析报告
8月10日,Kaspersky发布报告称DeathStalker在2022年继续使用VileRAT攻击全球的加密货币交易服务。VileRAT是一个经过混淆和打包的Python3 RAT,具有执行任意远程命令、键盘记录和从C2服务器自我更新等功能,在2020年Q2首次被发现。值得注意的是,迄今为止,研究人员已经确定了数百个与VileRAT感染链相关的域。2021年8月至今,在保加利亚、塞浦路斯、德国、格林纳丁斯、科威特、马耳他、阿拉伯联合酋长国和俄罗斯联邦发现了10个被感染目标。
https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/
京公网安备11010802024551号