Symantec称Billbug攻击亚洲地区的数字证书颁发机构
发布时间 2022-11-171、Symantec称Billbug攻击亚洲地区的数字证书颁发机构
Symantec在11月15日称其发现Billbug攻击了亚洲的多个政府机构,其中包括一个数字证书颁发机构。该团伙自2009年以来一直活跃,Symantec 2019年记录的活动中详细介绍了该团伙如何使用后门Hannotog和Sagerunex的,这些工具在最近的活动中也有出现。此次活动至少从3月就已开始,有迹象表明攻击者正在利用面向公众的应用程序来获得对目标网络的初始访问权限。与之前的活动一样,攻击者也使用了多种两用工具及自定义恶意软件,如AdFind、Directory、Winmail、WinRAR、Ping和Tracert等。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-asia-governments-cert-authority
2、Varonis披露Zendesk Explore中SQL注入等漏洞的细节
Varonis在11月15日披露了Zendesk Explore中两个漏洞的细节。其中一个是SQL注入漏洞,该漏洞涉及其GraphQL API中的SQL注入,可被用来泄露作为管理员存储在数据库中的所有信息,包括邮件地址、工单以及与实时代理的对话等。另一个漏洞是涉及与查询执行API相关的逻辑访问问题,该API被配置为运行查询,而不检查进行调用的用户是否有足够的权限这样做。目前,这些漏洞已被修复。
https://securityaffairs.co/wordpress/138579/hacking/zendesk-explore-critical-flaws.html
3、Lazarus利用后门DTrack攻击欧洲和拉丁美洲的组织
据11月15日报道,朝鲜黑客团伙Lazarus正在使用新版本的DTrack后门来攻击欧洲和拉丁美洲的组织。目标行业包括研究中心、政策机构、化学品制造商、IT服务提供商、电信提供商、公用事业服务提供商和教育。在新的活动中,DTrack通常使用与合法文件相关的文件名进行分发,如一个样本以“NvContainer.exe”为名分发,它与合法的NVIDIA文件同名。此外,DTrack仍继续通过窃取的凭证入侵网络或利用网上暴露的服务器来进行分发。
https://securelist.com/dtrack-targeting-europe-latin-america/107798/
4、研究团队发现可影响航天器和飞机的攻击方式PCspooF
媒体11月15日报道,研究团队发现了一种针对时间触发以太网(TTE)的新型攻击方法。TTE属于混合关键性网络的网络技术之一,其中具有不同时序和容错要求的流量共存于同一物理网络中。该技术用于安全基础设施,可导致为航天器和飞机提供动力的系统出现故障。这是使用恶意设备通过以太网电缆将电磁干扰(EMI)注入TTE交换机来实现的,可有效地诱使交换机发送看似真实的同步消息并让它们被其他TTE设备接受。作为缓解措施,研究人员建议使用光耦合器或浪涌保护器来阻止电磁干扰。
https://thehackernews.com/2022/11/pcspoof-new-vulnerability-affects.html
5、伊朗相关黑客利用Log4Shell漏洞入侵美国政府机构
11月16日,FBI和CISA联合发布了一份通告,称与伊朗相关的黑客入侵了一个政府机构并安装了XMRig矿工恶意软件。通告称,从2022年6月中旬到7月,CISA在联邦民用行政部门(FCEB)组织中观察到了可疑的APT活动。攻击者利用未修复的VMware Horizon服务器中的Log4Shell漏洞,安装XMRig矿工软件,横向移动到域控制器(DC),窃取凭据,然后植入Ngrok反向代理来在多个设备上保持持久性。CISA 和 FBI 发布此CSA提供黑客的TTP和IOC,以帮助组织检测和防御相关的攻击。
https://www.cisa.gov/uscert/ncas/alerts/aa22-320a
6、Kaspersky发布关于2023年APT攻击活动的预测报告
Kaspersky在11月14日发布了关于2023年APT攻击活动的预测报告。报告预测在2023年,将出现大量的破坏性网络攻击,影响政府部门和关键行业;邮件服务器将成为重要目标,很可能所有主要电子邮件软件都出现0-day;一些具有影响力的病毒每6-7年发生一次,可能出现下一个WannaCry;APT攻击团伙将目标转向卫星技术、生产商和运营商;更多APT组织将从CobaltStrike转移到其它替代方案等。
https://securelist.com/advanced-threat-predictions-for-2023/107939/
Symantec在11月15日称其发现Billbug攻击了亚洲的多个政府机构,其中包括一个数字证书颁发机构。该团伙自2009年以来一直活跃,Symantec 2019年记录的活动中详细介绍了该团伙如何使用后门Hannotog和Sagerunex的,这些工具在最近的活动中也有出现。此次活动至少从3月就已开始,有迹象表明攻击者正在利用面向公众的应用程序来获得对目标网络的初始访问权限。与之前的活动一样,攻击者也使用了多种两用工具及自定义恶意软件,如AdFind、Directory、Winmail、WinRAR、Ping和Tracert等。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-asia-governments-cert-authority
2、Varonis披露Zendesk Explore中SQL注入等漏洞的细节
Varonis在11月15日披露了Zendesk Explore中两个漏洞的细节。其中一个是SQL注入漏洞,该漏洞涉及其GraphQL API中的SQL注入,可被用来泄露作为管理员存储在数据库中的所有信息,包括邮件地址、工单以及与实时代理的对话等。另一个漏洞是涉及与查询执行API相关的逻辑访问问题,该API被配置为运行查询,而不检查进行调用的用户是否有足够的权限这样做。目前,这些漏洞已被修复。
https://securityaffairs.co/wordpress/138579/hacking/zendesk-explore-critical-flaws.html
3、Lazarus利用后门DTrack攻击欧洲和拉丁美洲的组织
据11月15日报道,朝鲜黑客团伙Lazarus正在使用新版本的DTrack后门来攻击欧洲和拉丁美洲的组织。目标行业包括研究中心、政策机构、化学品制造商、IT服务提供商、电信提供商、公用事业服务提供商和教育。在新的活动中,DTrack通常使用与合法文件相关的文件名进行分发,如一个样本以“NvContainer.exe”为名分发,它与合法的NVIDIA文件同名。此外,DTrack仍继续通过窃取的凭证入侵网络或利用网上暴露的服务器来进行分发。
https://securelist.com/dtrack-targeting-europe-latin-america/107798/
4、研究团队发现可影响航天器和飞机的攻击方式PCspooF
媒体11月15日报道,研究团队发现了一种针对时间触发以太网(TTE)的新型攻击方法。TTE属于混合关键性网络的网络技术之一,其中具有不同时序和容错要求的流量共存于同一物理网络中。该技术用于安全基础设施,可导致为航天器和飞机提供动力的系统出现故障。这是使用恶意设备通过以太网电缆将电磁干扰(EMI)注入TTE交换机来实现的,可有效地诱使交换机发送看似真实的同步消息并让它们被其他TTE设备接受。作为缓解措施,研究人员建议使用光耦合器或浪涌保护器来阻止电磁干扰。
https://thehackernews.com/2022/11/pcspoof-new-vulnerability-affects.html
5、伊朗相关黑客利用Log4Shell漏洞入侵美国政府机构
11月16日,FBI和CISA联合发布了一份通告,称与伊朗相关的黑客入侵了一个政府机构并安装了XMRig矿工恶意软件。通告称,从2022年6月中旬到7月,CISA在联邦民用行政部门(FCEB)组织中观察到了可疑的APT活动。攻击者利用未修复的VMware Horizon服务器中的Log4Shell漏洞,安装XMRig矿工软件,横向移动到域控制器(DC),窃取凭据,然后植入Ngrok反向代理来在多个设备上保持持久性。CISA 和 FBI 发布此CSA提供黑客的TTP和IOC,以帮助组织检测和防御相关的攻击。
https://www.cisa.gov/uscert/ncas/alerts/aa22-320a
6、Kaspersky发布关于2023年APT攻击活动的预测报告
Kaspersky在11月14日发布了关于2023年APT攻击活动的预测报告。报告预测在2023年,将出现大量的破坏性网络攻击,影响政府部门和关键行业;邮件服务器将成为重要目标,很可能所有主要电子邮件软件都出现0-day;一些具有影响力的病毒每6-7年发生一次,可能出现下一个WannaCry;APT攻击团伙将目标转向卫星技术、生产商和运营商;更多APT组织将从CobaltStrike转移到其它替代方案等。
https://securelist.com/advanced-threat-predictions-for-2023/107939/
京公网安备11010802024551号