印度最大的电力公司Tata Power的IT基础设施遭到攻击

发布时间 2022-10-17

1、印度最大的电力公司Tata Power的IT基础设施遭到攻击

      

据媒体10月15日报道,印度最大的综合电力公司Tata Power的IT基础设施遭到网络攻击。目前,该公司尚未提供有关攻击活动的详细信息,但其透露已经采取行动以应对该事件并恢复受影响的系统。据称,攻击活动针对的是至少7个印度国家电力调度中心(sldc),它们负责在各自的州内实施实时电网控制和电力调度操作。研究人员将此次活动归因于黑客团伙TAG-38。


https://thehackernews.com/2022/10/indian-energy-company-tata-powers-it.html


2、微软发现主要针对乌克兰和波兰的新勒索软件Prestige

      

10月14日,微软MSTIC透露新的勒索软件Prestige正被用于针对乌克兰和波兰的运输和物流组织的攻击活动。该恶意软件于10月11日首次在野外使用,与FoxBlade(也称为HermeticWiper)的被攻击目标有重叠。微软补充道,此活动与它在跟踪的94个当前活跃的勒索活动没有任何关联,在此之前并未见过Prestige勒索软件。MSTIC还强调了用于分发Prestige的三种方法,并公开了一系列的IOC和高级搜索查询,以帮助用户抵御此类攻击。


https://www.microsoft.com/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/


3、研究团队透露黑客已利用Zimbra漏洞攻击近900台服务器

      

据10月15日报道,黑客已利用ZCS中的漏洞(CVE-2022-41352)入侵了近900台服务器。Kaspersky称,第一轮攻击始于9月,主要针对印度和土耳其的一些易被攻击的Zimbra服务器。最初的这次攻击可能是用于测试攻击的有效性,仅入侵了44台服务器。漏洞一经公开,攻击者就开始执行大规模攻击。第二轮活动中黑客用恶意webshell感染了832台服务器,但这些攻击比之前的攻击更加随机。研究人员建议用户立即应用Zimbra安全更新或变通办法。


https://www.bleepingcomputer.com/news/security/almost-900-servers-hacked-using-zimbra-zero-day-flaw/


4、澳大利亚保险公司Medibank被攻击后股票暂停交易

      

据路透社10月13日报道,澳大利亚健康保险公司Medibank Private(MPL.AX)遭到网络攻击。该公司在上周四表示,他们检测到其网络上有异常活动,将隔离并删除对一些面向客户的系统的访问。因此,其AHM(澳大利亚健康管理)和国际学生政策管理系统已下线,但是其医疗服务将继续向其客户提供服务。据悉,在网络事件公布之前,Medibank的股票已经暂停交易,并在调查该事件时将继续关闭交易。


https://www.reuters.com/technology/australias-medibank-reports-cyber-incident-2022-10-13/


5、Zscaler披露Ducktail Infostealer新的PHP变体的详情

      

Zscaler在10月13日披露了针对Facebook企业帐户的Ducktail Infostealer新PHP变体。Ducktail自2021年以来一直存在,并归因于越南的一个攻击团伙。Zscaler在2022年8月发现了一个新的活动,通过伪装成各种免费或破解的应用安装程序,如游戏、Microsoft Office应用程序和Telegram等,积极分发Ducktail的新变体。与旧版本(.NetCore)一样,该变体也旨在泄露保存的浏览器凭据和Facebook帐户信息等信息。


https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts


6、Cisco发布关于新的攻击框架Alchimist的分析报告

      

10月13日,Cisco Talos发布了关于新的单文件C2框架Alchimist的分析报告。该框架似乎被用于针对Windows、Linux和macOS系统的攻击,它与攻击框架Manjusaka非常相似。Alchimist用GoLang编写,并辅以一个名为Insekt的beacon植入程序,它具有可由C2服务器检测的远程访问功能。Alchimist可被用来生成和配置payload,来远程截屏、执行任意命令和远程shellcode,还支持建立自定义感染机制,在设备上安装Insekt,并通过生成PowerShell和wget代码片段来安装RATs。


https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html