ESET发现Sandworm利用SwiftSlicer攻击乌克兰的活动

发布时间 2023-01-31
1、ESET发现Sandworm利用SwiftSlicer攻击乌克兰的活动

      

ESET研究人员于1月27日称,在最近一次针对乌克兰组织的攻击活动中发现了一种新的数据擦除恶意软件SwiftSlicer,并将其归因于APT组织Sandworm。SwiftSlicer于1月25日在目标的网络上被发现,它通过组策略部署,这表明攻击者已经控制了目标的Active Directory环境。该恶意软件是用Go开发的,一旦执行就会删除卷影副本并覆盖Windows系统目录中的关键文件,特别是驱动程序和Active Directory数据库。


https://www.welivesecurity.com/2023/01/27/swiftslicer-new-destructive-wiper-malware-ukraine/ 


2、QNAP发布固件更新修复其NAS设备中的SQL注入漏洞

      

1月30日,QNAP发布了QTS和QuTS的固件更新,以修复可在其NAS设备中注入恶意代码的漏洞。该漏洞追踪为CVE-2022-27596,CVSS评分为9.8,影响了QTS 5.0.1和QuTS hero h5.0.1版本。供应商没有透露有关该漏洞的更多细节,但NIST portal将其描述为SQL注入漏洞。此外,QNAP发布了一个描述该漏洞严重性的JSON文件,表明该漏洞可被远程攻击者在低复杂程度的攻击中利用,而无需用户交互或目标设备上的权限。


https://securityaffairs.com/141588/iot/qnap-addresses-critical-flaw.html   


3、投资研究公司Zacks遭到攻击导致82万用户的信息泄露

      

据媒体1月25日报道,Zacks Investment Research公司的数据泄露事件影响了820000名客户。Zacks发现部分客户记录遭到了未经授权的访问,经内部调查确定攻击者在2021年11月至2022年8月之间的某个时间访问了该网络。泄露信息包括姓名、地址、电话、邮件地址和Zacks.com网站的用户密码。该公司澄清说,此次事件仅影响在1999年11月至2005年2月加入的Zacks Elite的客户。目前,Zacks重置了受影响用户的密码,并实施了额外的安全措施。


https://www.bleepingcomputer.com/news/security/zacks-investment-research-data-breach-affects-820-000-clients/


4、勒索软件Mimic利用搜索工具Everything查找要加密的文件

      

Trend Micro在1月26日透漏,新的勒索软件Mimic利用合法工具Everything的API来查找要加密的文件。Everything是Voidtools开发的Windows文件名搜索引擎,可帮助Mimic找到可加密的文件,同时绕开那些加密后会导致系统无法启动的文件。该勒索软件于2022年6月首次在野外被发现,主要针对俄语和英语目标。其部分代码与勒索软件Conti有相似之处,还可以利用多个处理器线程来加速数据加密过程,具有现代勒索软件的常见功能。


https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html


5、研究人员在Black Basta攻击活动中发现PlugX新变体

      

据1月27日报道,研究人员在一次Black Basta的攻击活动中发现了恶意软件PlugX的新变体。该变体可以在USB设备上隐藏恶意文件,然后感染它们连接的Windows主机。在此次活动中,攻击者使用32位版本的Windows调试工具x64dbg.exe和中毒版本的x32bridge.dll,来加载PlugX payload(x32bridge.dat)。目前,在Virus Total扫描平台上的61种产品中,仅有9种可以将其标记为恶意文件。


https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/


6、Mandiant发布关于Gootkit攻击活动演变的分析报告

      

Mandiant在1月26日发布了关于Gootkit攻击活动的分析报告。自2021年1月以来,Mandiant一直在跟踪UNC2565的Gootkit的活动。研究人员发现,从2022年开始UNC2565对其活动中使用的TTP进行更改,包括使用FONELAUNCH launcher的多个变体、分发新的后续payload以及对Gootkit下载程序和感染链的更改。此外,报告还介绍了恶意软件用来隐藏其代码的多种方法,并提供可以自动执行反混淆过程的脚本。


https://www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations