MOVEit Transfe中漏洞CVE-2023-34362被大规模利用
发布时间 2023-06-051、MOVEit Transfe中漏洞CVE-2023-34362被大规模利用
据媒体6月1日报道,黑客正在积极利用MOVEit Transfer文件传输软件中的漏洞(CVE-2023-34362)来窃取数据。这是一个SQL注入漏洞,可导致远程代码执行。Rapid7研究人员在被利用设备上发现了相同的名为human2.asp的webshell,位于c:\MOVEit Transfer\wwwroot\公共HTML文件夹中。Mandiant表示,他们的数据显示此次攻击始于5月27日。目前尚不清楚攻击者身份,但据悉已经有许多组织遭到入侵,数据被盗。Progress Software已发布针对本地和云的缓解步骤。
https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/
2、西班牙大型银行Globalcaja遭到来自Play的勒索攻击
据6月5日报道,西班牙的一家大型银行Globalcaja透露,它正在处理影响了多个办事处的勒索攻击。Globalcaja总部位于西班牙阿尔巴塞特市,管理着超过46亿美元的消费贷款。Play声称它攻击了该银行并窃取了部分信息,包括个人机密数据、客户和员工文件、护照和合同等。该机构表示,这并没有影响各实体的交易,电子银行、自动取款机和各办事处也都在正常运作。该公司没有回应关于是否交赎金的询问。
https://therecord.media/spain-globalcaja-bank-confirms-ransomware-attack
3、美国HPHC遭到勒索攻击导致超过250万人的信息泄露
媒体6月1日称,美国医疗机构Harvard Pilgrim Health Care(HPHC)在4月份遭到勒索攻击,导致2550922人的信息泄露。调查发现,攻击者于3月28日至4月17日,从HPHC的系统中窃取了敏感数据,涉及姓名、地址、电话、账户信息、社会安全号码、纳税人识别号和临床信息等。此次事件影响了该机构从2012年3月28日开始注册的成员。HPHC将为受影响的个人提供信用监控和身份盗窃保护服务。目前尚无勒索团伙声称为此事负责。
https://www.bleepingcomputer.com/news/security/harvard-pilgrim-health-care-ransomware-attack-hits-25-million-people/
4、研究团队发现Camaro Dragon利用新后门TinyNote的攻击
Check Point Research于6月1日称其发现了Camaro Dragon近期攻击活动的详情。研究人员在该团伙的一个分发服务器上发现了新的基于Go的后门,名为TinyNote。该后门通过与外交事务相关的名称进行分发,可能针对东南亚和东亚的大使馆。它还可绕过印度尼西亚流行的杀毒软件SmadAV。TinyNote是第一阶段的恶意软件,只能通过PowerShell或Goroutines进行基本的机器枚举和命令执行。
https://research.checkpoint.com/2023/malware-spotlight-camaro-dragons-tinynote-backdoor/
5、Kaspersky披露利用零点击漏洞攻击iOS的Triangulation活动
6月1日,Kaspersky披露了利用零点击漏洞攻击iOS设备的Triangulation活动。该活动至少从2019年开始,目前仍在进行中。攻击链始于通过iMessage服务向iOS设备发送的消息,附件中包含漏洞利用。该消息在没有任何用户交互的情况下触发了远程代码执行漏洞。利用漏洞从C2服务器下载多个后续阶段,包括用于提权的其它漏洞以及最终payload。恶意代码以root权限运行,它支持一组用于收集系统和用户信息的命令,并且可以运行从C2作为插件模块下载的任意代码。此次攻击成功地感染了运行iOS 15.7的设备。
https://securelist.com/operation-triangulation/109842/
6、Trend Micro发布新勒索软件BlackSuit的分析报告
5月31日,Trend Micro发布了关于新Linux勒索软件BlackSuit的分析报告。研究人员检查了针对Linux的x64 VMware ESXi版本,发现Royal和BlackSuit之间有极高的相似度。基于BinDiff的比较发现,函数的相似度为93.2%,基本块的相似度为99.3%,而跳转的相似度为98.4%。此外,二者都使用OpenSSL的AES进行加密,并利用类似的间歇加密技术来加速加密过程。研究人员表示,BlackSuit要么是同一开发者开发的新变体,要么是使用了类似代码的山寨版,或者是Royal的附属机构对原始代码进行了修改。
https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html
京公网安备11010802024551号