黑客利用VMware漏洞CVE-2022-22954安装CoreImpact
发布时间 2022-04-271、黑客利用VMware漏洞CVE-2022-22954安装Core Impact
Morphisec研究人员在4月25日披露了利用VMware Workspace ONE Access中的RCE漏洞(CVE-2022-22954)的细节信息。攻击者首先在目标中执行PowerShell命令,该命令会启动一个 stager。然后,stager以高度混淆的形式从C2服务器获取PowerTrash加载程序,最终将Core Impact注入内存以进行后续活动。据悉,此次攻击活动可能与伊朗的APT组织Rocket Kitten有关。
https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
2、APT37的新一轮钓鱼活动分发恶意软件Goldbackdoor
据媒体4月25日报道,朝鲜黑客组织APT37(又称Ricochet Chollima)通过钓鱼活动分发Goldbackdoor。据悉,此次活动主要针对新闻从业者,最终会安装新恶意软件Goldbackdoor。该恶意软件它被评估为“Bluelight”的继任者,可以远程接受命令并窃取数据。此外,钓鱼邮件来自韩国国家情报局NIS前局长的账户(该账户曾被APT37入侵),其中附加了名为“Kang Min-chol edits”的ZIP文件,Kang Min-chol是朝鲜矿业部长。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/
3、伊朗称已挫败针对其公共基础设施的大规模网络攻击
媒体4月25日报道,据伊朗国家电视台宣布已挫败针对其公共基础设施的大规模网络攻击。据悉,此次攻击来自荷兰、英国和美国的系统,目标是伊朗的100多个公共服务组织的基础设施。伊朗当局没有详细说明机构、组织或服务的名称,但表示这些事件发生在最近几天。目前尚不确定攻击者的身份,伊朗将此事件归因于外国黑客。去年10月,伊朗NIOPDC的加油站曾遭到攻击,7月份伊朗铁路系统也遭到了攻击。
https://securityaffairs.co/wordpress/130592/hacking/iran-foiled-cyberattacks-public-services.html
4、美国牙科协会ADA遭到新勒索团伙Black Basta的攻击
据4月26日报道,美国牙科协会(ADA)遭到来自Black Basta的勒索攻击。攻击发生在上周五,ADA遭到攻击后关闭了受影响的系统,从而导致各种在线服务、电话、电子邮件和网络聊天中断。ADA的网站显示,他们遇到了技术问题,正在努力让系统重新运行。Black Basta团伙声称对此事负责,在其数据泄露网站已公开约2.8GB的数据,并表示这些数据仅占被盗数据的30%,其中包括W2表格、保密协议、会计电子表格以及ADA成员信息等。
https://www.bleepingcomputer.com/news/security/american-dental-association-hit-by-new-black-basta-ransomware/
5、Cyble发布新恶意软件Prynt Stealer的技术分析报告
4月21日,Cyble发布了关于新信息窃取程序Prynt Stealer的技术分析报告。该工具的开发者优先考虑了隐蔽性,使用了二进制混淆和Rijndael加密字符串,他声称该恶意软件的最新版本是FUD(完全不可检测)。Prynt首先会扫描并窃取主机中的小于5120字节(5 KB)的文档、数据库文件、源代码文件和图像文件。此外,它还针对大量网络浏览器、消息传递应用程序和游戏等应用程序,并可以窃取剪贴板和键盘记录,以进行直接的财务盗窃。
https://blog.cyble.com/2022/04/21/prynt-stealer-a-new-info-stealer-performing-clipper-and-keylogger-activities/
6、The DFIR Report发布勒索软件Quantum的分析报告
The DFIR Report在4月25日发布了关于勒索软件Quantum近期活动的分析报告。Quantum于2021年8月首次被发现,是MountLocker的更名,其赎金因目标而异,从十几万美元到数百万美元不等。此次活动活动从最初感染到完成加密设备仅使用了3小时44分钟。攻击者使用IcedID作为其初始访问媒介之一,该恶意软件部署Cobalt Strike进行远程访问,并最终安装Quantum Locker进行数据窃取和加密。
https://thedfirreport.com/2022/04/25/quantum-ransomware/
京公网安备11010802024551号