西门子修复可影响电网稳定的漏洞CVE-2023-28489

发布时间 2023-05-09

1、西门子修复可影响电网稳定的漏洞CVE-2023-28489


据媒体5月5日报道,西门子修复了影响Sicam A8000 CP-8031和CP-8050产品的CPCI85固件的远程执行代码漏洞(CVE-2023-28489)。这些产品是远程终端单元(RTU),攻击者可利用该漏洞完全控制设备,影响电网的稳定,甚至可通过更改关键自动化参数导致停电,还可以利用该漏洞安装后门。补丁在固件版本CPCI85 V05或更高版本中可用,该公司还指出,通过使用防火墙限制对TCP端口80和443上的Web服务器的访问,也可以缓解该漏洞。 


https://www.securityweek.com/critical-siemens-rtu-vulnerability-could-allow-hackers-to-destabilize-power-grid/


2、美国NextGen Healthcare约100万用户的信息泄露


据5月8日报道,美国软件和服务公司NextGen Healthcare泄露了约100万人的信息。该公司主要为医疗保健行业开发和销售电子健康记录(EHR)软件和实践管理系统。据悉,泄露事件于4月24日被发现,该公司调查确定攻击者在3月29日至4月14日访问了公司的系统,影响了1049375人。公司透露攻击者使用了似乎是从其它来源或与NextGen无关的攻击事件中窃取的客户端凭据访问数据库,它们重新设置了密码以控制该事件。这是NextGen在今年发生的第二起泄露事件,1月19日,它遭到了BlackCat的勒索攻击。


https://securityaffairs.com/145935/data-breach/nextgen-healthcare-data-breach.html


3、乌克兰CERT-UA发现旨在分发SmokeLoader的钓鱼活动


媒体5月8日称,乌克兰CERT-UA披露了以多语言文件的形式分发恶意软件SmokeLoader的钓鱼活动。攻击者利用被感染帐户发送以“账单/付款”为主题的邮件,附件为ZIP文档。这个ZIP是一个多语言文件,包含一个诱饵文档和一个JavaScript文件pax_2023_AB1058..js。JavaScript文件使用PowerShell,下载并运行可执行文件portable.exe,它将启动恶意软件SmokeLoader。对域名注册日期和文件编译日期的分析表明,该活动始于4月份,CERT-UA将该活动归因于UAC-0006。 


https://securityaffairs.com/145911/malware/cert-ua-smokeloader-campaign.html


4、研究人员披露Akira在近期的勒索攻击的详细信息


5月7日报道称,研究人员发现了Akira在近期的勒索攻击。Akira于3月份推出,声称已攻击了16家公司,涉及教育、金融、房地产、制造和咨询等各个行业。虽然另一个名为Akira的勒索软件已于2017年发布,但据信与这些活动并不相关。Akira会运行PowerShell命令删除卷影副本,加密文件并附加扩展名.akira,然后在每个文件夹留下赎金记录akira_readme.txt。其赎金要求从20万美元到数百万美元不等。


https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/


5、FortiGuard发现SideCopy团伙针对印度的攻击活动


5月4日,FortiGuard称其发现了SideCopy团伙利用印度军事研究组织相关主题的攻击活动。攻击者使用与印度国防研究与发展组织(DRDO)有关的ZIP文件来分发恶意软件。Zip文件包含一个快捷方式文件,它会使用HTAs程序或mshta.exe定向到攻击者的域。在这里,命令行参数指向一个URL,会下载并执行一个恶意文件Pantomime.hta。此外,与以往的活动有所不同,此次的payload似乎是使用工具SILENTTRINITY创建的。


https://www.fortinet.com/blog/threat-research/clean-rooms-nuclear-missiles-and-sidecopy


6、Cleafy发布drIBAN针对意大利的攻击活动的分析报告


5月4日,Cleafy发布了关于利用新的Web注入工具包DrIBAN的攻击活动的分析报告。这些活动的关键组件drIBAN,是一个具有强大ATS引擎的Web注入工具包,攻击者利用它成功绕过身份验证机制,例如银行和金融机构在登录和支付过程中采用的MFA和SCA授权阶段。攻击链始于经过认证的邮件(或PEC邮件),附带一个可执行文件,作为sLoad恶意软件的下载程序。sLoad是一种侦察工具,还通过滥用合法的Windows工具(如PowerShell和BITSAdmin)来利用LotL技术。此次活动主要针对意大利金融行业。


https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter1