每日安全简讯(20240424)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 APT28组织利用Windows Print Spooler漏洞进行攻击活动
研究人员称,APT28组织利用Windows Print Spooler漏洞进行攻击活动,并使用以前未知的黑客工具GooseEgg升级权限并窃取凭据和数据。APT28组织至少从2020年6月开始,最早可能在2019年4月,一直在使用此工具利用CVE-2022-38028漏洞。研究人员发现,该组织使用GooseEgg针对乌克兰、西欧和北美政府、非政府、教育和交通部门组织等目标进行攻击。攻击者能够利用GooseEgg进行后续攻击活动,例如远程代码执行、安装后门以及针对受感染的网络进行横向移动。
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials
2 Sandworm组织针对乌克兰20个关键基础设施进行攻击
根据乌克兰计算机应急响应小组(CERT-UA)的一份报告,俄罗斯黑客组织Sandworm针对乌克兰20个关键基础设施进行攻击。该组织也被称为BlackEnergy、Seashell Blizzard、Voodoo Bear和APT44。CERT-UA的报告称,2024年3月,Sandworm开展了针对乌克兰10个地区能源、水和供暖供应商的信息通信系统的攻击活动。Sandworm还将先前记录的恶意软件与新的恶意工具(适用于Linux的BIASBOAT和LOADGRIP)相结合,以获得访问权限并在网络中进行横向移动。
https://cert.gov.ua/article/6278706
3 研究人员披露TransparentTribe组织的攻击活动
TransparentTribe组织主要针对印度政府组织、军事人员和国防承包商进行攻击,其目标通常是收集敏感信息、进行网络间谍活动并危及其目标的安全。TransparentTribe组织使用多种传播途径,包括恶意文档文件、PowerPoint文件、Excel工作表文件和Linux桌面条目文件等。这些文件包括恶意宏文件,以进行下一阶段的攻击流程。在其他活动中,这些组织通过谷歌广告和社会工程来瞄准受害者,以传播恶意的Windows可执行文件和安卓应用程序。
https://cyble.com/blog/threat-actor-profile-transparenttribe
4 Citrix UberAgent工具中存在安全漏洞
Citrix的uberAgent是一种监控工具,用于增强Citrix平台的性能和安全性,已被确定存在安全漏洞。该漏洞被标记为CVE-2024-3902,可能允许攻击者提升权限,从而对使用受影响软件版本的组织构成重大威胁。该漏洞影响Citrix uberAgent 7.1.2之前的版本。Citrix已向所有受影响的uberAgent版本的客户发出紧急公告,要求他们立即将其软件更新到版本7.1.2或更高版本。
https://cybersecuritynews.com/citrix-uberagent-privilege-escalation
5 医疗实验室Synlab Italia遭受勒索软件攻击
Synlab Italia遭受勒索软件攻击,并已暂停其所有医疗诊断和测试服务。该公司称在4月18日凌晨发生了安全事件,这迫使其关闭了所有计算机以限制网络攻击活动。受此事件影响,所有化验分析及样本采集服务均已暂停,恢复时间将另行通知。建议客户使用电话联系Synlab,因为其电子邮件通信服务处于离线状态。该公司在最新更新的公告中称,他们已开始逐步重新启动一些服务,包括专科门诊就诊和物理治疗。同时,正在努力确保IT基础设施中不再存在恶意软件,并从备份中恢复系统。目前还没用勒索组织宣称发起此次攻击。
https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack
6 Red Ransomware勒索组织声称攻击Targus International
Targus的母公司B. Riley Financial于4月8日向美国证券交易委员会(SEC)提交了数据泄露通知,并表示于4月5日发现有攻击者未经授权访问了Targus的某些文件系统。当时,该公司未提及关于此次事件的攻击者的信息。Red Ransomware勒索组织于4月19日声称对Targus International的网络攻击负责。该勒索组织在其数据泄露站点中将Targus列为受害者。
https://cybernews.com/news/targus-cyberattack-claimed-by-ransomware-group/
页:
[1]