打印管理软件开发商PaperCut修复其产品中已被利用漏洞
发布时间 2023-04-211、打印管理软件开发商PaperCut修复其产品中已被利用漏洞
据媒体4月19日报道,PaperCut敦促客户安装更新,修复黑客正在积极利用的漏洞。PaperCut用于使打印管理软件与所有主要品牌和平台兼容,它声称为来自100多个国家的数亿人提供服务。该公司于1月10日收到报告,得知其PaperCut MF/NG的存在两个漏洞,分别是一个远程代码执行漏洞和一个信息泄露漏洞。之后,这家软件开发商更新了其3月的安全公告,称截至2023年4月18日,有证据表明未打补丁的服务器正在被利用,但没有透露太多有关这些漏洞的信息。
https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-bug-in-papercut-servers/
2、印度ICICI银行因系统配置错误泄露数百万条客户信息
据4月20日报道,印度ICICI银行泄露了数百万条客户信息。2月1日,研究人员发现了一个配置错误的Digital Ocean存储桶,其中包含超过360万个ICICI银行的文件,涉及银行及其客户的敏感数据。泄露信息包括客户的银行账户信息、信用卡号、护照、身份证和印度纳税人识别号等,银行的对账单和KYC表格,以及银行员工和求职者的简历。截至3月30日,该存储桶已被保护起来。
https://securityaffairs.com/145094/uncategorized/icici-bank-data-leak.html
3、APT 36利用新恶意软件Poseidon攻击印度的政府机构
Uptycs在4月17日称其发现了APT 36(也称Transparent Tribe)利用新Linux恶意软件Poseidon的攻击活动。攻击者通过木马化的2FA软件Kavach分发恶意软件payload,主要针对为印度政府机构工作的Linux用户。攻击始于一个恶意ELF文件,旨在从远程服务器检索第二阶段Poseidon payload。Poseidon是一个通用后门可用于劫持被感染的主机,其功能包括记录键盘、截屏、上传和下载文件,以及通过各种方式远程管理系统。
https://www.uptycs.com/blog/cyber_espionage_in_india_decoding_apt_36_new_linux_malware
4、Symantec披露Play的两个新工具Grixba和VSS复制工具
Symantec于4月19日披露了勒索团伙Play的两个新的自定义数据收集工具,即Grixba和VSS复制工具。Grixba是网络扫描和信息窃取工具,用于枚举域中的用户和计算机。该工具将收集到的数据保存在CSV文件中并压缩成ZIP,然后泄露到攻击者的C2服务器,为下一步攻击提供重要信息。VSS复制工具也是使用Costura工具开发的,将AlphaVSS库嵌入到可执行文件中,该工具用于在加密之前,从被感染设备的VSS卷复制文件。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/play-ransomware-volume-shadow-copy
5、ThreatMon发布Blind Eagle攻击活动的技术分析报告
4月19日,ThreatMon发布报告,将Blind Eagle链接到一个新的多阶段攻击链。研究人员发现使用一个JavaScript下载程序来执行托管在Discord CDN中的PowerShell脚本。该脚本会分发另一个PowerShell脚本和一个Windows批处理文件,并在Windows启动文件夹中保存一个VBScript文件以实现持久性。然后运行VBScript代码以启动批处理文件,批处理文件随后被解密,以运行之前与之一起分发的PowerShell脚本。在最后阶段,PowerShell脚本会执行njRAT。
https://threatmon.io/apt-blind-eagles-malware-arsenal-technical-analysis/
6、Fortra发布关于GoAnywhere MFT漏洞攻击的调查结果
4月17日,Fortra发布了关于GoAnywhere MFT漏洞(CVE-2023-0669)利用活动的调查结果。根据公告,该公司于1月30日意识到部分GoAnywhere MFTaaS实例中的可疑活动,并迅速关闭云服务以进行进一步调查。调查显示,攻击者在1月28日至1月30日利用漏洞在部分客户环境中创建了帐户,然后使用这些帐户从MFT环境下载文件。攻击者还在某些MFTaaS客户环境中安装了两个额外的工具,Netcat和Errors.jsp。此外,Fortra发现早在1月18日该漏洞就被用于针对运行GoAnywhere MFT特定配置的本地客户。
https://www.fortra.com/blog/summary-investigation-related-cve-2023-0669
京公网安备11010802024551号