NSA等机构联合发布如何配置和监控PowerShell的指南

发布时间 2022-06-24
1、NSA等机构联合发布如何配置和监控PowerShell的指南


6月22日,美国CISA、新西兰NZ NCSC和英国NCSC-UK发布了一份联合网络安全信息表(CIS)。这些机构建议适当的配置和监控PowerShell,而不是因为攻击者会在访问网络后使用它而完全删除或禁用它。指南建议,利用框架中的功能,例如PowerShell远程处理;对于远程连接,使用PowerShell 7中支持的SSH,以增加公钥身份验证的便利性和安全性;在AppLocker或Windows Defender应用程序控制(WDAC)的帮助下减少PowerShell的操作,将工具设置为受限语言模式(CLM),从而拒绝管理员定义的策略之外的操作。 


https://www.cisa.gov/uscert/ncas/current-activity/2022/06/22/keeping-powershell-measures-use-and-embrace


2、Cyber Spetsnaz将矛头对准立陶宛的关键基础设施


据媒体6月22日报道,Cyber Spetsnaz开始针对立陶宛的政府机构和关键基础设施。在立陶宛宣布对俄罗斯实施“禁运令”后,该团伙宣布了协调DDoS攻击的多个目标,其中涉及物流公司、交通基础设施、主要金融机构、ISP、机场、能源公司、主要媒体和政府的网站。据6月23日报道,立陶宛国家网络安全中心(NKSC)发布了一则公告,称针对该国当局的DDoS攻击急剧增加,导致立陶宛的运输公司、金融机构和其它大型实体都发生了短暂的服务中断。


https://securityaffairs.co/wordpress/132518/hacktivism/lithuania-under-cyber-attack.html


3、Check Point披露Tropic Trooper近期攻击的详情


Check Point在6月22日发布了关于Tropic Trooper攻击活动的分析报告。此次活动使用了新的加载程序Nimbda和木马Yahoyah的新变种。感染链始于恶意版本的SMS Bomber,它实际上是Nimbda加载程序,但使用了SMS Bomber图标,并包含SMS Bomber作为嵌入的可执行文件,加载后会安装Yahoyah变体并收集主机的数据。最终的payload由Yahoyah下载,并使用隐写技术编码为JPG图像,Check Point将其识别为TClient,是Tropic Trooper在过去活动中曾使用过的后门。此外,用于包装Yahoyah的加密是AES的自定义实现,它执行了两次倒序的轮操作,使样本分析变得非常困难。


https://research.checkpoint.com/2022/chinese-actor-takes-aim-armed-with-nim-language-and-bizarro-aes/


4、QNAP修复已存在三年的PHP漏洞CVE-2019-11043


6月22日,QNAP发布安全更新,修复了一个已存在三年之久的PHP漏洞(CVE-2019-11043)。QNAP在公告中解释,漏洞会影响低于7.1.33的PHP版本7.1.x、低于7.2.24的7.2.x和低于7.3.11的7.3.x,如果被利用,可导致远程执行代码。该漏洞CVSS评分为9.8,影响了QNAP的多个版本的QTS、QuTS hero和QuTScloud设备。该公司建议用户立即更新到最新的版本,以修复此漏洞。


https://www.bleepingcomputer.com/news/security/critical-php-flaw-exposes-qnap-nas-devices-to-rce-attacks/


5、Proofpoint发布2022年社会工程的攻击活动报告


Proofpoint在6月22日发布了最新的社会工程学报告。报告分析了社会工程的主要趋势和行为,包括,攻击者可以通过延长对话与目标建立信任、扩大了对有效策略的滥用(如使用受信任公司的服务)、在其攻击链中利用正交技术(如电话)、知道并利用同事之间现有的对话、利用热门和与社会相关的主题等。此外,该报告还着眼于经常被滥用的服务,比如谷歌Drive和Discord。


https://www.proofpoint.com/us/blog/threat-insight/how-threat-actors-hijack-attention-2022-social-engineering-report


6、日本汽车零件制造商Nichirin称其遭到勒索攻击

      

据6月23日报道,日本汽车和摩托车软管制造商Nichirin的子公司Nichirin-Flex USA遭到了勒索攻击,导致该公司的网络中断。攻击发生在6月14日,该公司在检测到其网络上未经授权的访问后立即将操作切换到手动模式。由于网络攻击也影响了产品分销,并且订单是手动完成的,因此客户的订单应该会延迟。该公司的声明表示,恢复系统已成为恢复业务运营的优先事项,其目前正在调查未经授权的访问是如何发生的,并试图确定信息泄露的影响。


https://www.bleepingcomputer.com/news/security/automotive-hose-maker-nichirin-hit-by-ransomware-attack/