Unit 42发现Mirai的变体IZ1H9利用多个漏洞进行分发
发布时间 2023-05-301、Unit 42发现Mirai的变体IZ1H9利用多个漏洞进行分发
Unit 42在5月25日披露了一个名为IZ1H9的Mirai变体利用多个漏洞进行传播的活动。研究人员在4月10日发现该活动,攻击者使用了Tenda G103命令注入漏洞(CVE-2023-27076)、LB-Link命令注入漏洞(CVE-2023-26801)、DCN DCBI-Netlog-LAB远程代码执行漏洞(CVE-2023-26802)以及Zyxel远程代码执行漏洞,来攻击目标服务器和网络设备。被感染设备可被攻击者控制成为僵尸网络的一部分,并被用于进一步攻击,例如DDoS攻击。
https://unit42.paloaltonetworks.com/mirai-variant-iz1h9/
2、医疗机构AENT透露其遭到攻击影响约22万患者和员工
据5月26日报道,Albany ENT & Allergy Services通知了224486名员工和患者关于信息泄露事件。通知中写道,AENT在3月27日前后发现可疑活动,调查确定攻击者在3月23日至4月4日可能访问了部分存储个人和健康信息的系统。不久前,两个勒索团伙曾声称攻击了AENT。4月23日,BianLian在其网站列出了该公司,并称已经下载了630 GB的文件。4月28日,RansomHouse也列出了该公司,声称在3月27日加密了AENT的系统,并下载了2 TB数据。然而,AENT在该通知中没有提及任何关于勒索攻击的信息。
https://www.databreaches.net/two-ransomware-groups-claimed-to-have-attacked-albany-ent-allergy-services-and-leaked-data-but-aent-doesnt-mention-that-at-all-in-their-notification/
3、Symantec称新Buhti利用泄露的LockBit和Babuk代码
5月25日,Symantec称名为Buhti的勒索攻击活动,利用了泄露的LockBit和Babuk的代码针对Windows和Linux系统。Buhti于2月首次被发现,最初仅攻击Linux计算机,Symantec此次发现了其攻击Windows计算机的企图。该勒索活动没有自己的勒索软件payload,但它使用了自定义信息窃取程序来针对指定的文件类型。此外,该团伙似乎很快就利用了最新披露的漏洞,他们在最近的一次攻击利用了最新修复的PaperCut NG和MF中的漏洞(CVE-2023-27350)。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/buhti-ransomware
4、RaidForums的用户数据库已在某个黑客论坛上被公开
据媒体5月29日报道,RaidForums的用户数据库已在某个黑客论坛上被公开,这可能会让某些人感到有点紧张。该数据库的日期显示为2020年9月。它包含网站所有者、Omnipotent、版主和知名用户的条目。研究人员抽查数据库,发现了部分个人的用户名、电子邮件地址和jabber ID。发布该数据库的管理员指出,有一些被删除的用户。目前还没有迹象表明这个数据库是如何泄露的、是谁首先泄露的或者为什么现在被公开。
https://www.databreaches.net/developing-raidforums-users-db-leaked/
5、研究人员发现使用加密RPMSG消息的Microsoft 365钓鱼活动
Trustwave在5月24日称其发现了通过被感染的Microsoft 365帐户发送加密RPMSG附件的钓鱼活动。RPMSG文件用于发送启用了权限管理电子邮件对象协议的电子邮件,收件人只有在使用其Microsoft帐户进行身份验证或获得一次性密码后才能阅读加密邮件。在本案例中钓鱼邮件来自支付处理公司Talus Pay,收件人公司计费部门的用户,活动旨在窃取目标Microsoft凭据。研究人员称,此类攻击的数量少且具有针对性,因此对其的检测和应对极具挑战性。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-encrypted-restricted-permission-messages-deliver-phishing/
6、ESET发布加密程序AceCryptor及其活动的分析报告
5月25日,ESET发布了关于加密程序AceCryptor及其活动的分析报告。这个加密程序自2016年首次出现,被许多恶意软件开发者使用,如Emotet。在2021年至2022年,ESET检测到超过80000个独特的AceCryptor样本。目前AceCryptor使用多级的三层架构,已知的第一层有两个版本,一个版本使用TEA解密第二层,另一个版本使用微软Visual/Quick/C++的线性同位素发生器(LCG)解密第二层。第二层是执行shell code,然后解密并启动第三层。第三层是更多的shellcode,其任务是启动payload。
https://www.welivesecurity.com/2023/05/25/shedding-light-acecryptor-operation/
京公网安备11010802024551号