黑客利用Fortinet漏洞進(jìn)行勒索軟件攻擊

有研究人員提出警告，F(xiàn)ortinet于去年10月修補(bǔ)的重大漏洞CVE-2022-40684，已經(jīng)成為黑客大肆利用的對象！其中，他們偵測到兩起勒索軟件攻擊，黑客便是針對存在相關(guān)漏洞的Fortinet設(shè)備下手，入侵目標(biāo)組織網(wǎng)絡(luò)環(huán)境來加密文件。

以往的披露UEFI固件漏洞都是出現(xiàn)在x86計(jì)算機(jī)上，但采用其他處理器的計(jì)算機(jī)也可能出現(xiàn)類似漏洞！有研究人員向高通（Qualcomm）通報數(shù)個UEFI漏洞，并指出這應(yīng)該是首度披露的Arm計(jì)算機(jī)UEFI漏洞。

在烏克蘭戰(zhàn)爭尚未結(jié)束、美國注資烏克蘭相關(guān)軍事資源的情況下，俄羅斯黑客也將一些敏感的研究機(jī)構(gòu)列為攻擊目標(biāo)。有新聞媒體披露，俄羅斯黑客Cold River疑似針對美國的核子實(shí)驗(yàn)室的科學(xué)家發(fā)動釣魚攻擊。

安全企業(yè)eSentire提出警告， 他們在2022年11月下旬的兩起勒索軟件攻擊事件，發(fā)現(xiàn)黑客鎖定未修補(bǔ)重大漏洞

CVE-2022-40684的Forinet SSL VPN設(shè)備而來，目前已在加拿大的大學(xué)與跨國投資公司發(fā)現(xiàn)這樣的活動。

研究人員表示，黑客一旦成功進(jìn)入目標(biāo)組織的網(wǎng)絡(luò)環(huán)境，就會發(fā)動寄生攻擊（LOLBin），并濫用遠(yuǎn)程桌面協(xié)議（RDP）來橫向移動，最終利用BitLocker與BestCrypt來加密文件，并要求受害組織通過電子郵件向他們聯(lián)系。而這些黑客的身份，研究人員指出，他們先前曾用名為KalajaTomorr的勒索軟件發(fā)動攻擊。

根據(jù)路透社的報道，俄羅斯黑客組織Cold River自去年夏天起，持續(xù)鎖定美國3座核子研究實(shí)驗(yàn)室，分別為Brookhaven（BNL）、Argonne（ANL）、Lawrence Livermore National Laboratories（LLNL），黑客為上述機(jī)構(gòu)創(chuàng)建偽造的登錄網(wǎng)頁，然后向科學(xué)家發(fā)送釣魚郵件，意圖借此得知他們的帳密資訊。

路透社表示，他們無法確定黑客攻擊的目的，也無法確認(rèn)是否成功入侵。對此，BNL拒絕回應(yīng)，LLNL沒有回復(fù)，ANL則表示由美國能源部進(jìn)行說明，但后者不愿發(fā)布看法。

安全企業(yè)賽門鐵克披露黑客組織Blubottle的攻擊行動，主要鎖定使用法語的非洲國家銀行而來，但阿根廷、巴拉圭、孟加拉也有受害組織。黑客自2022年7月至9月，使用惡意程序加載工具GuLoader及帶有簽章的驅(qū)動程序發(fā)動攻擊，先是利用ISO鏡像文件傳播上述文件，一旦入侵成功，黑客便將GuLoader注入Internet Explorer附加組件安裝工具（ieinstal.exe）、ASP.NET瀏覽器注冊程序（ieinstal.exe）來執(zhí)行，進(jìn)而部署Netwire、Quasar等RAT木馬程序。

研究人員指出，這些黑客攻擊手法大部分與Group-IB披露的黑客組織Opera1er雷同，但無法確定是否為相同的組織。

1月4日持續(xù)開發(fā)／持續(xù)交付（CI/CD）平臺企業(yè)CircleCI發(fā)布安全通報，表示該公司著手調(diào)查安全事件，并強(qiáng)調(diào)公司系統(tǒng)無未經(jīng)授權(quán)的攻擊者行動跡象，但為了慎重起見，他們要求所有用戶采取預(yù)防措施，包括立即輪換存儲在CircleCI賬號的所有密鑰，并于完成后檢查2022年12月21日至2023年1月4日的系統(tǒng)日志，確認(rèn)是否出現(xiàn)未經(jīng)授權(quán)的訪問。

在要求用戶檢查系統(tǒng)是否曾有未經(jīng)授權(quán)訪問的同時，CircleCI公司也廢止項(xiàng)目API權(quán)限，用戶需要更換這些token，才能繼續(xù)使用相關(guān)服務(wù)。

本次安全通報選在美東晚間9時30分發(fā)出，已是多數(shù)人下班時間。對此，該公司表示他們的用戶遍布全球，只能盡快通知所有的客戶采取行動。

安全企業(yè)Minerva披露名為CatB的勒索軟件，研究人員看到該勒索軟件于11月23日上傳到惡意軟件分析平臺VirusTotal，社群認(rèn)為可能是勒索軟件Pandora的變種。研究人員對CatB進(jìn)行分析，發(fā)現(xiàn)該勒索軟件會先檢測處理器核心數(shù)量、內(nèi)存大小、存儲空間，來判斷是否在沙箱環(huán)境執(zhí)行，一旦確認(rèn)是在真實(shí)的計(jì)算機(jī)環(huán)境，該勒索軟件的引導(dǎo)程序就會通過DLL挾持手法，將其酬載投放于System32系統(tǒng)文件夾，并篡改MSDTC系統(tǒng)服務(wù)的配置，來維持此勒索軟件于受害計(jì)算機(jī)運(yùn)行，完成后便開始加密受害計(jì)算機(jī)的文件。

與許多勒索軟件不同的是，CatB不會變動計(jì)算機(jī)文件的文件擴(kuò)展名，并將勒索消息寫在每個文件內(nèi)容的最前面，使得受害者直到發(fā)現(xiàn)文件無法使用才發(fā)現(xiàn)遭到攻擊。

根據(jù)安全新聞網(wǎng)站HackRead報道，安全研究人員Anurag Sen通過物聯(lián)網(wǎng)搜索引擎Shodan，發(fā)現(xiàn)美國ERP企業(yè)所有的Elasticsearch服務(wù)器不需帳密就能訪問，該服務(wù)器約自去年12月下旬開始暴露于網(wǎng)際網(wǎng)絡(luò)，其中包含印度求職者詳細(xì)資料，文件大小超過6.3 GB，資料數(shù)量超過57.5萬筆，內(nèi)有求職者姓名、出生日期、電子郵件信箱、電話號碼、履歷、雇主資料。研究人員已向印度計(jì)算機(jī)緊急應(yīng)變小組（CERT-in）通報此事。

高通于1月5日發(fā)布安全通報，修補(bǔ)約20個漏洞，其中有5個是安全企業(yè)Binarly通報。該公司的研究人員向安全新聞網(wǎng)站SecurityWeeks透露，這些漏洞他們最初是在分析搭載高通處理器的聯(lián)想ThinkPad X13s發(fā)現(xiàn)，當(dāng)時一共找到9個漏洞，但發(fā)現(xiàn)其中5個與高通的參考程序代碼有關(guān)，這意味著可能會影響所有采用高通SoC的筆記本，包括微軟Surface，以及三星的設(shè)備。

研究人員指出，這5個漏洞是首度在Arm架構(gòu)計(jì)算機(jī)發(fā)現(xiàn)的UEFI漏洞，其中CVE-2022-40516、CVE-2022-40517、CVE-2022-40520為內(nèi)存堆棧的緩沖區(qū)溢出漏洞，CVSS風(fēng)險層級皆為8.2分；CVE-2022-40518、CVE-2022-40519則是出現(xiàn)在DXE驅(qū)動程序，一旦遭利用可能導(dǎo)致內(nèi)存泄露，為中等風(fēng)險層級的漏洞，CVSS評分為4.9分、6.0分。

文章轉(zhuǎn)載自十輪網(wǎng)