黑山当局称其数字基础设施遭到大规模网络攻击

发布时间 2022-08-30
1、黑山当局称其数字基础设施遭到大规模网络攻击

      

据8月27日报道,黑山当局透露其遭到了复杂且持续的网络攻击,影响了国家的数字基础设施。网络攻击的目标包括电力和供水系统、交通服务、用于公民访问各种国家服务的在线门户网站等等。因此,一些发电厂已经转为手动操作,国家管理的IT基础设施已关闭,但公民和商企业的账户及其数据的安全性并未受到影响。该国国防部长将此次攻击归咎于俄罗斯的黑客团伙。


https://securityaffairs.co/wordpress/134900/cyber-warfare-2/montenegro-cyber-attack.html


2、俄罗斯流媒体平台START数据泄露影响4400万用户

      

媒体8月29日称,俄罗斯流媒体平台START客户的个人信息在一次攻击中泄露。该公司没有透露有多少用户受到影响,Information Leaks公开的截图显示此次泄露了4400万客户的72 GB数据。黑客声称这些数据来自一个暴露的MongoDB数据库,其中包含在去年9月22日之前在该网站上注册的用户的详细信息。START表示已经修复漏洞并关闭了数据库,目前尚不清楚此次攻击的黑客及其动机。


https://therecord.media/leading-russian-streaming-platform-suffers-data-leak-allegedly-impacting-44-million-users/


3、MERCURY利用SysAid中的Log4Shell攻击以色列的企业

      

8月25日,微软披露了伊朗团伙MERCURY针对以色列企业的攻击活动。攻击发生在2022年7月23日至25日,攻击者利用存在Log4Shell漏洞的SysAid应用程序进行初始访问。之后,MERCURY通过特制的请求执行恶意PowerShell并安装Web shell。在通过cmd.exe收集到所需信息后,会添加一个用户并将其权限提升为本地管理员,然后将攻击工具添加到启动文件夹中,以建立持久性。MuddyWater还使用Mimikatz执行凭证窃取,通过WMI和RemCom横向移动,并通过定制的Ligolo隧道工具将被盗数据发送到C2服务器。


https://www.microsoft.com/security/blog/2022/08/25/mercury-leveraging-log4j-2-vulnerabilities-in-unpatched-systems-to-target-israeli-organizations/


4、印度尼西亚PT.JASA MARGA遭到DESORDEN的攻击

      

据媒体8月25日报道,印度尼西亚的收费公路运营商PT JASAMARGA TOLLROAD OPERATOR遭到来自DESORDEN的攻击。DESORDEN表示,已窃取252 GB的数据、编码和文档,分布在5台服务器上,涉及该公司的用户、客户、员工公司和财务的信息。该公司作出回应,称泄露的数据只是内部数据和公司相关信息,而不涉及客户数据,他们已关闭受影响的服务器,目前在恢复数据并将系统移动到更安全的服务器上。


https://www.databreaches.net/major-indonesia-tollroad-operator-hacked-by-desorden/


5、假的P2E Cthulhu World分发多个窃取信息的恶意软件

      

媒体8月27日报道,研究人员发现了一个新的恶意软件分发活动。黑客创建了一个假的play-to-earn平台Cthulhu World,其中包括网站、Discord Groups、社交账户和一个Medium开发者网站,旨在分发窃取信息的恶意软件Raccoon Stealer、AsyncRAT和RedLine。其网站似乎克隆了合法的Alchemic World项目。目前,Cthulhu World的网站已关闭,但他们的Discord仍然活跃。


https://www.bleepingcomputer.com/news/security/fake-cthulhu-world-p2e-project-used-to-push-info-stealing-malware/


6、Unit42发布关于勒索软件Black Basta的分析报告

      

8月25日,Unit42发布了关于勒索软件Black Basta的分析报告。Black Basta是一种勒索软件即服务(RaaS),于2022年4月首次出现,已入侵了超过75个组织,主要针对位于澳大利亚、加拿大、新西兰、英国和美国的组织。2022年6月,研究人员发现它的VMware ESXi变体针对在企业Linux服务器上运行的虚拟机。该勒索软件试图检测代码仿真或沙盒来绕过逆向分析;生成一个带有dsajdhas.0字符串的互斥锁,以确保每次只有一个恶意软件的实例在运行;通过ChaCha20和RSA-4096的组合对用户数据进行加密。


https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/