新勒索软件MalasLocker要求目标向慈善机构捐款
发布时间 2023-05-191、新勒索软件MalasLocker要求目标向慈善机构捐款
据媒体5月17日报道,新勒索软件MalasLocker通过入侵Zimbra服务器来窃取邮件并加密文件。但攻击者并没有要求目标交赎金,而是要求他们向指定的非营利慈善机构捐款。该活动始于3月底,在加密电子邮件时,它不会在文件名附加额外的扩展名。但他们在每个加密文件的末尾都附加了一个"此文件已加密,请查看README.txt了解解密说明"的信息。目前尚不清楚攻击者是如何入侵Zimbra服务器。MalasLocker的网站目已公开三家公司的数据和其他169个被攻击者的Zimbra配置。
https://www.bleepingcomputer.com/news/security/malaslocker-ransomware-targets-zimbra-servers-demands-charity-donation/
2、Apple修复iPhone、Mac和iPad中三个已被利用的漏洞
5月18日,Apple发布安全更新,修复了iPhone、Mac和iPad中三个已被利用的漏洞。这些漏洞均在多平台WebKit浏览器引擎中被发现,分别是可用来突破Web内容沙箱的沙箱逃逸漏洞(CVE-2023-32409)、访问敏感信息的越界读取漏洞(CVE-2023-28204)和执行任意代码的释放后使用漏洞(CVE-2023-32373)。Apple通过改进边界检查、输入验证和内存管理解决了这些问题,没有公开有关这些攻击的详细信息。自年初以来,Apple已修复了6个零日漏洞。
https://securityaffairs.com/146411/security/apple-3-new-zero-day-bugs.html
3、BatLoader在近期攻击中冒充ChatGPT和Midjourney
eSentire在5月16日称其发现了BatLoader冒充ChatGPT和Midjourney的攻击活动。研究人员称,这两种AI服务都非常受欢迎,但是没有官方的独立应用程序,用户只能通过网络界面和Discord与ChatGPT和Midjourney交互。攻击者利用了这种空缺,将搜索AI应用程序的用户引到冒牌网页。在冒充ChatGPT的活动中,BatLoader通过MSIX Windows App Installer文件和Redline Stealer来感染设备。在冒充Midjourney的活动中,会下载由Ashana Global Ltd.签名的Windows应用程序包。
https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks
4、技术提供商ScanSource遭到勒索攻击网站暂时无法访问
据5月17日报道,技术提供商ScanSource透露其遭到勒索攻击,部分系统、业务运营和客户门户受到影响。5月15日开始,ScanSource的客户称无法访问公司的网站。之后,该公司证实他在5月14日遭到了勒索攻击。此次攻击的影响是巨大的,因为该公司说,在未来一段时间内,向客户提供的服务将会出现延迟,预计将影响北美和巴西的业务。此外,其股价在5月17日下跌了1.42%,这可能是攻击造成的影响。
https://www.bleepingcomputer.com/news/security/scansource-says-ransomware-attack-behind-multi-day-outages/
5、Kaspersky披露恶意矿工Minas攻击活动的技术细节
Kaspersky于5月17日披露了恶意矿工Minas攻击活动的技术细节。研究人员从执行PowerShell开始重建了它的感染链:PowerShell脚本通过任务计划程序运行,并从远程服务器下载lgntoerr.gif文件,解密后生成.NET DLL,并从其资源中提取和解密三个文件,最后会在内存中提取并启动矿工DLL。研究人员称,Minas是一个使用标准实现的矿工,旨在隐藏其存在。目前无法完全确定最初的PowerShell命令是如何执行的,但种种迹象表明是通过GPO执行的。
https://securelist.com/minas-miner-on-the-way-to-complexity/109692/
6、Trend Micro发布关于8220 Gang新策略的分析报告
5月16日,Trend Micro发布了关于8220 Gang新策略的分析报告。该团伙最近几个月一直很活跃,它利用了Oracle WebLogic Server中的漏洞(CVE-2017-3506)来分发PowerShell,然后在内存中创建另一个混淆的PowerShell脚本。这个新的脚本会禁用Windows AMSI检测并启动一个Windows二进制文件,它随后会连接到远程服务器以检索payload。此外,攻击还利用了一种合法Linux工具lwp-download,用于在目标主机上保存任意文件。
https://www.trendmicro.com/en_us/research/23/e/8220-gang-evolution-new-strategies-adapted.html
京公网安备11010802024551号