微软发现朝鲜攻击者利用H0lyGh0st攻击中小型企业
发布时间 2022-07-18
7月14日,微软发布报告分析了朝鲜DEV-0530(自称为H0lyGh0st)的攻击策略以及其勒索软件的技术细节。自2021年6月以来,该团伙一直在开发和使用勒索软件进行攻击,并早在2021年9月就成功入侵了多个国家的小型企业。研究人员将该团伙的勒索软件归类为两个系列:SiennaPurple和SiennaBlue,并在这些系列下确定了四个变体:BTLC_C.exe、HolyRS.exe、HolyLock.exe和BLTC.exe。
https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/
2、美国中情局前工程师因Vault 7泄露事件而被定罪
据7月14日报道,纽约的一个联邦陪审团宣布,中央情报局软件工程师向维基解密网站(WikiLeaks)泄露大量机密文件的罪名成立。现年33岁的Joshua Schulte面临的九项指控罪名均成立,包括非法收集国防信息等。维基解密将这些机密文件命名为“Vault 7”,并在2017年发布,这些文件详细揭露了CIA如何入侵电脑、智能手机、应用和电视机等。维基解密称,Vault 7是有史以来关于CIA的最大一次机密文件公布。高级情报官员普遍认为,这是对美国间谍机构造成打击的最具破坏性的泄密事件之一。
https://thehackernews.com/2022/07/former-cia-engineer-convicted-of.html
3、Cloudflare称其近千名客户遭到来自Mantis的DDoS攻击
媒体7月14日报道,Cloudflare表示其在6月份缓解了来自Mantis的大规模DDoS攻击。Mantis主要针对IT和电信行业(36%)、新闻媒体和出版物行业(15%)、金融行业(10%) 和游戏行业(12%)的实体。该公司指出,在过去30天里,其近千名客户遭到了3000多次DDoS攻击。与由IoT设备组成的传统僵尸网络不同,Mantis使用的是被劫持的虚拟机和服务器,它仅用5000多个机器人就能每秒生成2600万个HTTPS请求。该活动主要针对美国(20%)和俄罗斯(15%),其次是土耳其、法国和波兰等。
https://www.bleepingcomputer.com/news/security/mantis-botnet-behind-the-record-breaking-ddos-attack-in-june/
4、Netwrix Auditor中存在可用来执行任意代码的漏洞
据7月16日报道,Bishop Fox的在Netwrix Auditor软件中发现了一个漏洞,可用来在受影响的设备上执行任意代码。Netwrix Auditor是一款允许组织监控其IT基础设施的审计软件,被全球有超过11000个组织使用。这是一个不安全的对象反序列化漏洞,根本原因是存在一个不安全的.NET远程处理服务,可在Netwrix服务器上的TCP端口9004上访问,能被用来在服务器上执行任意命令。此外,由于该命令是以NT AUTHORITY/SYSTEM权限执行的,攻击者可利用该漏洞完全控制Netwrix服务器。目前,漏洞已被修复。
https://securityaffairs.co/wordpress/133310/hacking/netwrix-auditor-flaw.html
5、Unit 42透露针对Elastix VoIP系统的攻击活动的细节
7月15日,Unit 42称其发现了一场针对Elastix VoIP电话服务器的大规模活动。Elastix是统一通信的服务器软件,用于FreePBX的Digium电话模块。攻击活动开始自2021年12月,至2022年3月研究人员已发现了超过50万个恶意软件样本。报告指出,攻击者会通过在目标的Digium软件中下载和执行额外的payload,植入一个web shell来窃取数据。就时间线而言,Web shell似乎与Rest Phone Apps(restapps)模块中的远程代码执行漏洞(CVE-2021-45461)相关。
https://unit42.paloaltonetworks.com/digium-phones-web-shell/
6、Wordfence称大规模攻击活动已扫描160万个WP网站
据媒体7月15日称,Wordfence研究人员检测到了一场大规模攻击活动,已经扫描了近160万个WordPress网站。攻击者主要针对Kaswara Modern WPBakery页面生成器,该插件已被其开发者放弃。据Wordfence遥测数据,攻击从7月4日开始,目前仍在进行中,平均每天有443868次攻击尝试。攻击者会向“wp-admin/admin-ajax/php”发送POST请求,并利用插件的“uploadFontIcon”AJAX函数上传包含PHP文件的恶意ZIP payload。这些攻击来自10215个不同的IP地址,研究人员建议用户立刻删除该插件,并阻止攻击者使用的IP地址。
https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/
京公网安备11010802024551号