每日安全简讯(20240217)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Turla组织利用TinyTurla-NG后门攻击波兰非政府组织
安全公司发现了一个由俄罗斯网络间谍威胁组织 Turla APT 组织编写和运营的新后门。称之为“TinyTurla-NG”(TTNG)的新后门在编码风格和功能实现方面与 Turla 之前披露的植入程序TinyTurla类似。该公司评价TinyTurla-NG 与 TinyTurla 一样,是一个小型“最后机会”后门,当所有其他未经授权的访问/后门机制失败或在受感染系统上检测到时,该后门将被使用。TinyTurla-NG 早在 2023 年 12 月就被发现针对一个致力于改善波兰民主并在俄罗斯入侵期间支持乌克兰的波兰非政府组织 (NGO)。
https://blog.talosintelligence.com/tinyturla-next-generation/
2 RansomHouse利用新工具MrAgent自动执行网络攻击
RansomHouse 勒索软件操作创建了一个名为“MrAgent”的新工具,可以跨多个 VMware ESXi 虚拟机管理程序自动部署其数据加密器。RansomHouse 是一种勒索软件即服务 (RaaS) 操作,于 2021 年 12 月出现,采用双重勒索策略。该组织被发现使用一种名为 Mario ESXi 的独特勒索软件变体以及 MrAgent,针对基于 Windows 和 Linux 的系统。该勒索软件与 Babuk 共享代码,这在逆向两个样本时变得显而易见。鉴于 Babuk 的源代码泄露,泄露的勒索软件系列的“分叉”和/或衍生版本的出现只是时间问题。
https://www.trellix.com/blogs/research/ransomhouse-am-see/
3 FBI破坏俄罗斯军事黑客使用的Moobot僵尸网络
FBI 摧毁了俄罗斯总参谋部主要情报局 (GRU) 的小型办公室/家庭办公室 (SOHO) 路由器僵尸网络,该僵尸网络被俄罗斯总参谋部主要情报局 (GRU) 用于代理恶意流量,并针对美国及其盟国进行鱼叉式网络钓鱼和凭证盗窃攻击。这个由数百个感染 Moobot 恶意软件的 Ubiquiti Edge OS 路由器组成的网络由 GRU Military Unit 26165 控制,也被追踪为 APT28、Fancy Bear 和 Sednit。
https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian
4 新的严重Exchange Server漏洞被用作零日漏洞
微软在更新的安全公告中警告说,Exchange Server 中的一个关键漏洞在本月的补丁星期二期间被修复之前曾被用作零日漏洞。此安全缺陷在内部发现并被跟踪为CVE-2024-21410,它可以让未经身份验证的远程威胁参与者在针对易受攻击的 Microsoft Exchange Server 版本的 NTLM 中继攻击中提升权限。在此类攻击中,威胁行为者强制网络设备(包括服务器或域控制器)针对其控制下的 NTLM 中继服务器进行身份验证,以冒充目标设备并提升权限。
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21410
5 加拿大管道公司确认遭到AlphV勒索组织攻击
Trans-Northern Pipelines 确认已了解 AlphV 勒索软件组织涉嫌对其系统进行的攻击,并对此做出了回应。 AlphV 是一个多产的勒索软件组织,在 12 月执法部门拆除其基础设施后仅几个小时就重新出现。在其数据泄露网站上发布的帖子,该组织声称其窃取并泄露了该管道运营商 183 GB 的数据。安全人员分析,AlphV 隶属于 BlackMatter 勒索软件工具,该工具与负责2021 年针对 Colonial Pipeline 的攻击的DarkSide 勒索软件组织有联系。那次臭名昭著的袭击使东海岸的天然气供应中断了数天。
https://www.cybersecuritydive.com/news/trans-northern-pipeline-ransomware/707522/?&web_view=true
6 互联网提供商泄露内部客户电子邮件
总部位于明尼苏达州的互联网提供商US Internet Corp.拥有一个名为Securence的业务部门,专门为全球企业、教育机构和政府机构提供经过过滤的安全电子邮件服务。但在上周接到通知之前,该部门以纯文本形式在互联网上发布了十多年来的内部电子邮件以及数千名 Securence 客户的电子邮件,任何使用网络浏览器的人只需单击一下即可。US Internet 总部位于明尼苏达州明尼通卡,是一家提供光纤和无线互联网服务的区域性 ISP。该 ISP 的安全部门自称是“电子邮件过滤和管理软件的领先提供商,其中包括为全球小型企业、企业、教育和政府机构提供电子邮件保护和安全服务。
https://krebsonsecurity.com/2024/02/u-s-internet-leaked-years-of-internal-customer-emails/?&web_view=true
页:
[1]