微软称Volt Typhoon自2021年一直针对美国基础设施
发布时间 2023-05-261、微软称Volt Typhoon自2021年一直针对美国基础设施
5月24日,微软称至少从 2021 年年中开始,Volt Typhoon就一直针对美国关岛和其它各地的关键基础设施。被入侵组织涉及政府、海事、通信、制造、信息技术、公用事业、交通、建筑和教育行业。攻击者首先利用未知的零日漏洞入侵Fortinet FortiGuard设备,来实现对目标的初始访问。然后利用PowerShell、Certutil、Netsh和WMIC等LOLBins执行living-off-the-land攻击。五眼联盟称,该团伙还利用了开源工具,如frp、Mimikatz和Impacket等。
https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
2、SuperVPN因数据库配置错误泄露3.6亿条用户记录
据5月24日报道,免费VPN服务SuperVPN因数据库配置错误,泄露了360308817条用户记录,总计133 GB数据。这些记录除了包括用户邮件地址、原始IP地址、地理位置数据和服务器使用记录等敏感信息,还包括密钥、唯一应用程序用户ID号和UUID号等。虽然SuperVPN声称它不存储用户日志,但泄露的数据表明真实情况并非如此,这与该公司的政策相矛盾。此外,在数据库中还发现Storm VPN、Luna VPN、Radar VPN、Rocket VPN和Ghost VPN等VPN提供商名称,可以推断它们在某种程度上是相关的。
https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/
3、Akamai发现僵尸网络Dark Frost DDoS攻击游戏行业的企业
Akamai在5月25日称其发现了新型僵尸网络Dark Frost DDoS攻击游戏行业的企业。该团伙至少从2022年5月开始活跃,针对游戏公司、游戏服务器托管供应商、在线流媒体和其他游戏社区成员。通过分析研究人员确定它的攻击潜力约在629.28 Gbps。该僵尸网络以Gafgyt、QBot、Mirai和其它恶意软件为蓝本,截至2月份,它包括414台运行各种指令集架构的设备,如ARMv4、x86、MIPSEL、MIPS和ARM7。该案例的特殊之处在于,攻击者发布了他们攻击的实时记录,供所有人查看。
https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile
4、Check Point公开Agrius团伙针对以色列的攻击活动
5月24日,Check Point公开了伊朗黑客团伙Agrius针对以色列组织的攻击活动。攻击者首先通过利用服务器中的漏洞获得目标的初始访问权限。然后利用以色列的ProtonVPN节点分发隐藏在“Certificate”文本文件中的ASPXSpy webshell变体。之后,Agrius从ufile.io和easyupload.io等合法文件托管平台获取勒索软件Moneybird的可执行文件。在目前发现的案例中,该勒索软件仅针对F:\User Shares。这表明Moneybird的目标偏向于导致业务中断,而不是锁定计算机。
https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/
5、Barracuda称其ESG中漏洞CVE-2023-2868已被利用
据媒体5月24日报道,Barracuda称发现其ESG设备中远程命令注入漏洞(CVE-2023-2868)已被利用。该漏洞位于电子邮件附件筛选模块中,源于用户提供的.tar文件的输入验证不完整。漏洞于5月19日被发现,并于5月20日和21日发布的两个安全补丁中被修复。Barracuda透露,其部分客户的ESG设备遭到攻击,攻击者利用该漏洞对电子邮件网关设备子集的进行未授权的访问。Barracuda表示,调查仅限于其ESG产品,建议受到影响的组织再检查一下他们的网络,以确定其它系统是否被入侵。
https://securityaffairs.com/146620/hacking/barracuda-email-security-gateway-bug.html
6、WP Cookie Consent插件中的XSS漏洞已被大规模利用
5月24日报道称,研究人员发现了大规模利用WordPress Cookie Consent插件Beautiful Cookie Consent Banner中XSS漏洞的活动。未经身份验证的攻击者可在运行该插件的WordPress网站上创建恶意管理员帐户,漏洞已于1月份被修复。根据记录,该漏洞自2月5日以来一直被积极利用。自5月23日以来,研究人员已经检测到来自近14000个IP地址的近300万次针对超过150万个网站的攻击,并且,目前攻击仍在继续。
https://www.bleepingcomputer.com/news/security/hackers-target-15m-wordpress-sites-with-cookie-consent-plugin-exploit/
京公网安备11010802024551号