Avanan称滥用Google SMTP中继绕过检测的活动激增
发布时间 2022-05-051、Avanan称滥用Google SMTP中继绕过检测的活动激增
据媒体5月2日报道,邮件安全公司Avanan称从2022年4月开始,滥用谷歌SMTP中继服务的攻击活动激增。该公司在4月的前两周检测到至少30000封通过这种方法分发的邮件。Gmail和Google Workspace用户可以使用该服务来路由外发电子邮件,Avanan表示,攻击者可以利用该中继服务绕过电子邮件安全产品的检测。研究人员已于4月23日向Gmail报告了此类攻击,并建议用户设置严格的DMARC策略来抵御攻击。
https://www.bleepingcomputer.com/news/security/google-smtp-relay-service-abused-for-sending-phishing-emails/
2、F5发布BIG-IP中的RCE漏洞CVE-2022-1388的安全通告
5月4日,F5发布安全公告披露了BIG-IP中的远程代码执行漏洞(CVE-2022-1388)的细节。该漏洞CVSS评分为9.8,存在于iControl REST组件中,可通过发送未公开的请求来绕过BIG-IP中的iControl REST身份验证。目前,该漏洞已在F5发布的5月份安全更新中修复,此次更新还修复了CVE-2022-25946、CVE-2022-27806和CVE-2022-28707等多个严重的漏洞。
https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/
3、UNC3524利用新后门QUIETEXIT以窃取目标的电子邮件
Mandiant在5月2日称,新发现的一个APT组织UNC3524,旨在窃取参与公司交易(如并购)的员工的邮件。研究人员发现该团伙使用了新后门QUIETEXIT,在部分攻击中还在DMZ网络服务器上安装了reGeorg web shell,以创建一个SOCKS隧道作为备用接入点。在获得访问权限并安装后门后,攻击者开始向Exchange邮箱发送一系列EWS API请求,来窃取相关邮件。
https://www.mandiant.com/resources/unc3524-eye-spy-email
4、Moshen Dragon利用PlugX等恶意软件攻击中亚地区
5月2日,SentinelLabs详述了Moshen Dragon针对中亚地区的电信部门的攻击活动。攻击者尝试将恶意Windows DLL加载到杀毒产品中,涉及TrendMicro、Bitdefender、McAfee、Symantec和Kaspersky等公司。由于这些AV产品在操作系统上以较高的权限运行,因此在其进程中侧载恶意DLL使攻击者能够在几乎没有限制的情况下执行代码并绕过检测。该团伙与RedFoxtrot和Nomad Panda有部分重叠,包括都使用了ShadowPad和PlugX。
https://www.sentinelone.com/labs/moshen-dragons-triad-and-error-approach-abusing-security-software-to-sideload-plugx-and-shadowpad/
5、Google发布近期关于攻击东欧的活动的分析报告
5月3日,Google TAG发布了近期关于攻击东欧的活动的分析报告。报告指出,攻击者越来越多地针对关键基础设施,包括石油和天然气、电信和制造行业等。攻击活动包括,APT28团伙正在通过钓鱼邮件分发新的恶意软件变体;Turla瞄准波罗的海地区的国防和网络安全机构;Coldriver使用Gmail帐户发送针对政府和国防机构、非政府组织、智囊团和媒体行业的钓鱼邮件和Ghostwriter通过钓鱼攻击窃取凭据等。
https://blog.google/threat-analysis-group/update-on-cyber-activity-in-eastern-europe/
6、Cybereason发布Winnti针对美国的攻击活动的报告
5月4日,Cybereason发布了两份报告详述了Winnti复杂的攻击活动。此次活动开始于2019年,但在最近才被曝光。攻击者瞄准了欧洲、亚洲和北美的技术和制造公司,专注于间谍活动和数据窃取。Winnti复杂的多阶段感染链被称为Operation CuckooBees,利用了ERP软件中的漏洞,其恶意软件包括Spyder、STASHLOG、SPARKLOG、PRIVATELOG、DEPLOYLOG和WINNKIT。目前,该安全公司已向FBI和美国司法部披露了此次APT攻击活动。
https://www.cybereason.com/blog/operation-cuckoobees-deep-dive-into-stealthy-winnti-techniques
京公网安备11010802024551号