有研究人員提出警告,F(xiàn)ortinet于去年10月修補(bǔ)的重大漏洞CVE-2022-40684,已經(jīng)成為黑客大肆利用的對象!其中,他們偵測到兩起勒索軟件攻擊,黑客便是針對存在相關(guān)漏洞的Fortinet設(shè)備下手,入侵目標(biāo)組織網(wǎng)絡(luò)環(huán)境來加密文件。
以往的披露UEFI固件漏洞都是出現(xiàn)在x86計算機(jī)上,但采用其他處理器的計算機(jī)也可能出現(xiàn)類似漏洞!有研究人員向高通(Qualcomm)通報數(shù)個UEFI漏洞,并指出這應(yīng)該是首度披露的Arm計算機(jī)UEFI漏洞。
在烏克蘭戰(zhàn)爭尚未結(jié)束、美國注資烏克蘭相關(guān)軍事資源的情況下,俄羅斯黑客也將一些敏感的研究機(jī)構(gòu)列為攻擊目標(biāo)。有新聞媒體披露,俄羅斯黑客Cold River疑似針對美國的核子實驗室的科學(xué)家發(fā)動釣魚攻擊。
安全企業(yè)eSentire提出警告, 他們在2022年11月下旬的兩起勒索軟件攻擊事件,發(fā)現(xiàn)黑客鎖定未修補(bǔ)重大漏洞
CVE-2022-40684的Forinet SSL VPN設(shè)備而來,目前已在加拿大的大學(xué)與跨國投資公司發(fā)現(xiàn)這樣的活動。
研究人員表示,黑客一旦成功進(jìn)入目標(biāo)組織的網(wǎng)絡(luò)環(huán)境,就會發(fā)動寄生攻擊(LOLBin),并濫用遠(yuǎn)程桌面協(xié)議(RDP)來橫向移動,最終利用BitLocker與BestCrypt來加密文件,并要求受害組織通過電子郵件向他們聯(lián)系。而這些黑客的身份,研究人員指出,他們先前曾用名為KalajaTomorr的勒索軟件發(fā)動攻擊。
根據(jù)路透社的報道,俄羅斯黑客組織Cold River自去年夏天起,持續(xù)鎖定美國3座核子研究實驗室,分別為Brookhaven(BNL)、Argonne(ANL)、Lawrence Livermore National Laboratories(LLNL),黑客為上述機(jī)構(gòu)創(chuàng)建偽造的登錄網(wǎng)頁,然后向科學(xué)家發(fā)送釣魚郵件,意圖借此得知他們的帳密資訊。
路透社表示,他們無法確定黑客攻擊的目的,也無法確認(rèn)是否成功入侵。對此,BNL拒絕回應(yīng),LLNL沒有回復(fù),ANL則表示由美國能源部進(jìn)行說明,但后者不愿發(fā)布看法。
安全企業(yè)賽門鐵克披露黑客組織Blubottle的攻擊行動,主要鎖定使用法語的非洲國家銀行而來,但阿根廷、巴拉圭、孟加拉也有受害組織。黑客自2022年7月至9月,使用惡意程序加載工具GuLoader及帶有簽章的驅(qū)動程序發(fā)動攻擊,先是利用ISO鏡像文件傳播上述文件,一旦入侵成功,黑客便將GuLoader注入Internet Explorer附加組件安裝工具(ieinstal.exe)、ASP.NET瀏覽器注冊程序(ieinstal.exe)來執(zhí)行,進(jìn)而部署Netwire、Quasar等RAT木馬程序。
研究人員指出,這些黑客攻擊手法大部分與Group-IB披露的黑客組織Opera1er雷同,但無法確定是否為相同的組織。
1月4日持續(xù)開發(fā)/持續(xù)交付(CI/CD)平臺企業(yè)CircleCI發(fā)布安全通報,表示該公司著手調(diào)查安全事件,并強(qiáng)調(diào)公司系統(tǒng)無未經(jīng)授權(quán)的攻擊者行動跡象,但為了慎重起見,他們要求所有用戶采取預(yù)防措施,包括立即輪換存儲在CircleCI賬號的所有密鑰,并于完成后檢查2022年12月21日至2023年1月4日的系統(tǒng)日志,確認(rèn)是否出現(xiàn)未經(jīng)授權(quán)的訪問。
在要求用戶檢查系統(tǒng)是否曾有未經(jīng)授權(quán)訪問的同時,CircleCI公司也廢止項目API權(quán)限,用戶需要更換這些token,才能繼續(xù)使用相關(guān)服務(wù)。
本次安全通報選在美東晚間9時30分發(fā)出,已是多數(shù)人下班時間。對此,該公司表示他們的用戶遍布全球,只能盡快通知所有的客戶采取行動。
安全企業(yè)Minerva披露名為CatB的勒索軟件,研究人員看到該勒索軟件于11月23日上傳到惡意軟件分析平臺VirusTotal,社群認(rèn)為可能是勒索軟件Pandora的變種。研究人員對CatB進(jìn)行分析,發(fā)現(xiàn)該勒索軟件會先檢測處理器核心數(shù)量、內(nèi)存大小、存儲空間,來判斷是否在沙箱環(huán)境執(zhí)行,一旦確認(rèn)是在真實的計算機(jī)環(huán)境,該勒索軟件的引導(dǎo)程序就會通過DLL挾持手法,將其酬載投放于System32系統(tǒng)文件夾,并篡改MSDTC系統(tǒng)服務(wù)的配置,來維持此勒索軟件于受害計算機(jī)運行,完成后便開始加密受害計算機(jī)的文件。
與許多勒索軟件不同的是,CatB不會變動計算機(jī)文件的文件擴(kuò)展名,并將勒索消息寫在每個文件內(nèi)容的最前面,使得受害者直到發(fā)現(xiàn)文件無法使用才發(fā)現(xiàn)遭到攻擊。
根據(jù)安全新聞網(wǎng)站HackRead報道,安全研究人員Anurag Sen通過物聯(lián)網(wǎng)搜索引擎Shodan,發(fā)現(xiàn)美國ERP企業(yè)所有的Elasticsearch服務(wù)器不需帳密就能訪問,該服務(wù)器約自去年12月下旬開始暴露于網(wǎng)際網(wǎng)絡(luò),其中包含印度求職者詳細(xì)資料,文件大小超過6.3 GB,資料數(shù)量超過57.5萬筆,內(nèi)有求職者姓名、出生日期、電子郵件信箱、電話號碼、履歷、雇主資料。研究人員已向印度計算機(jī)緊急應(yīng)變小組(CERT-in)通報此事。
高通于1月5日發(fā)布安全通報,修補(bǔ)約20個漏洞,其中有5個是安全企業(yè)Binarly通報。該公司的研究人員向安全新聞網(wǎng)站SecurityWeeks透露,這些漏洞他們最初是在分析搭載高通處理器的聯(lián)想ThinkPad X13s發(fā)現(xiàn),當(dāng)時一共找到9個漏洞,但發(fā)現(xiàn)其中5個與高通的參考程序代碼有關(guān),這意味著可能會影響所有采用高通SoC的筆記本,包括微軟Surface,以及三星的設(shè)備。
研究人員指出,這5個漏洞是首度在Arm架構(gòu)計算機(jī)發(fā)現(xiàn)的UEFI漏洞,其中CVE-2022-40516、CVE-2022-40517、CVE-2022-40520為內(nèi)存堆棧的緩沖區(qū)溢出漏洞,CVSS風(fēng)險層級皆為8.2分;CVE-2022-40518、CVE-2022-40519則是出現(xiàn)在DXE驅(qū)動程序,一旦遭利用可能導(dǎo)致內(nèi)存泄露,為中等風(fēng)險層級的漏洞,CVSS評分為4.9分、6.0分。
文章轉(zhuǎn)載自十輪網(wǎng)