每日安全简讯(20230629)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 CNCERT联合安天分析Diicot挖矿组织近期攻击活动
近期,CNCERT和安天联合监测发现Diicot挖矿组织(也称color1337、Mexals)频繁发起攻击活动,境内受害服务器已达600余台。Diicot挖矿组织在此次活动中,以互联网下暴露22端口的设备作为攻击目标,使用SSH暴力破解工具实施入侵。成功后,根据设备CPU性能,利用托管网站下发不同载荷。当设备性能较弱时,从托管网站下载相应工具和脚本,实施扫描和暴力破解进行传播;当设备性能较强时,下载挖矿程序进行挖矿。通过对攻击者使用的C2资源进行分析发现,攻击者于2022年10月13日至2023年5月27日期间不断更新攻击载荷,增加shc加密等手法以达成免杀的目的。跟踪监测发现2023年3月1日至今,境内受害服务器(以IP数计算)累计600余台。
https://mp.weixin.qq.com/s/Fqa8JHNpLjlaMhbDeyuTXQ
2 Akira勒索软件开始针对Linux平台发起攻击
Akira是一种新型的勒索软件,自2023年4月出现以来,已经攻击了多个行业的数十个组织,窃取和加密了他们的敏感数据。如果受害者不支付赎金,攻击者就会威胁在暗网上出售或泄露数据。值得注意的是,Akira勒索软件已经扩展了其攻击范围,包括了Linux平台。研究人员发现了一个复杂的Linux版本的Akira勒索软件。这个恶意的Linux可执行文件是一个64位的Linux Executable and Linkable Format (ELF)文件,它可以接受一些命令行参数来指定要加密的文件或文件夹的路径,以及要加密的文件的百分比。Akira勒索软件使用预先设定的RSA公钥来加密系统中的文件,并且只针对特定的文件扩展名。在加密文件后,它会在多个文件夹中放置一个名为“akira_readme.txt”的赎金说明文件,告诉受害者如何联系攻击者并支付赎金。
https://blog.cyble.com/2023/06/28/akira-ransomware-extends-reach-to-linux-platform/
3 数百台设备被发现违反新的CISA联邦机构指令
研究人员在美国联邦机构的网络上发现了数百台暴露在互联网上的设备,这些设备必须按照最近发布的CISA绑定操作指令进行保护。CISA是美国网络安全和基础设施安全局,它负责监督和协调联邦政府的网络安全。CISA的绑定操作指令23-02要求所有联邦机构在14天内关闭或保护所有暴露在互联网上的管理接口,以防止黑客利用它们进行攻击或窃取数据。研究人员使用自己的扫描工具,在联邦机构的网络上发现了至少300台违反这一指令的设备,包括路由器、交换机、打印机、摄像头等。这些设备可能存在严重的安全漏洞,如弱口令、未加密的通信、未更新的固件等。如果不及时修复,它们可能会成为黑客攻击的目标或跳板。
https://censys.io/identifying-cisa-bod-23-02-internet-exposed-networked-management-interfaces-with-censys/
4 新型Mockingjay进程注入技术可绕过EDR检测执行恶意代码
研究人员提出了一种新的进程注入技术,称为Mockingjay。这种技术利用了一些预先存在的Windows可执行文件(PE),它们具有默认的读写执行(RWX)权限的内存块。这样,就无需执行通常被EDR监控的Windows API,就可以在目标进程中加载恶意代码并执行。研究人员发现了一个名为msys-2.0.dll的易受攻击的DLL文件,它具有16KB的RWX空间,可以用来存放恶意代码。他们探索了两种不同的方法来实现Mockingjay技术:自我注入和远程进程注入。自我注入是指使用一个自定义应用程序直接加载易受攻击的DLL文件到其地址空间,并最终使用RWX区域执行所需的代码。远程进程注入则是指使用RWX区域中的易受攻击的DLL文件来对远程进程进行进程注入,例如explorer.exe。Mockingjay技术的特点是无需在目标进程中分配内存、设置权限或创建新线程来启动注入代码的执行。这使得这种技术与其他现有技术有所不同,并且难以被EDR系统检测到。
https://www.securityjoes.com/post/process-mockingjay-echoing-rwx-in-userland-to-achieve-code-execution
5 微软网页版Outlook在美洲地区出现故障
微软正在调查一个持续的问题,导致一些客户无法通过网页版Outlook访问他们的Exchange Online邮箱。微软表示,这次故障只影响北美地区,但用户报告显示,南美地区的用户也可能受到影响。网页版Outlook是微软的一款基于云的电子邮件服务应用程序,它允许用户在浏览器中收发邮件。这次故障发生在北京时间6月27日凌晨3点左右,当时有数百名用户在社交媒体和故障追踪网站上报告了无法登录网页版Outlook的问题。微软在其服务运行状况仪表板上确认了这个问题,并表示正在努力解决。目前,微软尚未透露这次故障的原因和影响范围。
https://www.bleepingcomputer.com/news/microsoft/outlook-for-the-web-outage-impacts-users-across-america/
6 西门子能源在MOVEit数据窃取攻击后确认数据泄露
西门子能源已经确认,在最近的Clop勒索软件数据窃取攻击中,使用了MOVEit Transfer平台的一个零日漏洞,导致数据被盗。Clop在其数据泄露网站上列出了西门子能源,表明该公司的数据在一次入侵中被窃取。虽然目前还没有数据被泄露,但西门子能源的一位发言人证实,他们是最近利用MOVEit Transfer零日漏洞(追踪为CVE-2023-34362)进行的Clop数据窃取攻击的受害者之一。西门子能源表示,没有关键数据被盗,业务运营也没有受到影响。除了西门子能源,Clop还声称从MOVEit Transfer系统中窃取了另一家行业巨头施耐德电气的数据。
https://www.bleepingcomputer.com/news/security/siemens-energy-confirms-data-breach-after-moveit-data-theft-attack/
页:
[1]