每日安全简讯(20220520)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员对Wizard Spider黑客组织进行分析
周三,网络安全公司PRODAFT发布了对Wizard Spider黑客组织的调查结果,据信该团伙与Grim Spider和Lunar Spider黑客组织有关。Wizard Spider团伙专注于破坏企业网络,受害者包括国防承包商、企业公司、供应链供应商、医院和关键公用事业供应商。Wizard Spider的攻击往往从使用QBot和SystemBC代理的垃圾邮件和网络钓鱼开始。一旦出现漏洞,该团伙将部署Cobalt Strike并尝试获取域管理员权限。还会部署Conti勒索软件,对机器和管理程序服务器进行加密。
https://www.zdnet.com/article/wizard-spider-hacking-group-hires-cold-callers-to-scare-ransomware-victims-into-paying-up/
2 微软警告sqlps工具被用于攻击MSSQL服务器
微软警告针对MSSQL服务器的新黑客活动,威胁参与者正在对缺乏保护的实例发起暴力破解。这些攻击使用合法工具sqlps.exe(一种SQL Server PowerShell文件)作为LOLBin(living-off-the-land,离地攻击二进制文件)。威胁参与者使用sqlps.exe创建一个新帐户,并将其添加到sysadmin角色中,从而允许他们完全控制SQL服务器实例。然后攻击者就可以执行其他恶意操作,比如部署恶意软件。该攻击是无文件的,不会在绕过反恶意软件解决方案的目标系统上留下痕迹。
https://securityaffairs.co/wordpress/131418/hacking/mssql-servers-attacks.html
3 黑客可以通过新的BLE中继攻击入侵特斯拉汽车
NCC Group的安全研究人员开发了一种工具来执行蓝牙低能耗(BLE)中继攻击,该攻击绕过所有现有保护以在目标设备上进行身份验证。在这种类型的中继攻击中,攻击者可以拦截并操纵双方之间的通信,例如解锁和操控汽车的遥控钥匙以及车辆本身。研究人员表示,执行攻击大约需要10秒钟,而且可以不断重复。特斯拉Model 3和Model Y都使用基于BLE的进入系统,因此NCC的攻击可用于解锁和启动汽车。
https://www.bleepingcomputer.com/news/security/hackers-can-steal-your-tesla-model-3-y-using-new-bluetooth-attack/
4 CISA发布了阻止F5 BIG-IP攻击活动的指导公告
在发布的联合咨询中,CISA和美国多州信息共享与分析中心(MS-ISAC)警告管理员针对关键的F5 BIG-IP网络安全漏洞(CVE-2022-1388)的主动攻击。CISA敦促管理员从互联网上删除F5 BIG-IP管理接口,并尽快实施多因素身份验证,以阻止对易受攻击设备的访问。还建议各组织立即将F5 BIG-IP软件升级至最新版本。该公告还附带Snort和Suricate签名,用于检测受损系统并在发生违规时提供详细的事件响应建议。
https://www.bleepingcomputer.com/news/security/cisa-shares-guidance-to-block-ongoing-f5-big-ip-attacks/
5 VMware针对影响多个产品的漏洞发布修补程序
VMware已发布修补程序,其中包含两个影响Workspace ONE Access、Identity Manager和vRealize Automation的安全漏洞,可以利用这些漏洞在企业网络部署后门。第一个被跟踪为CVE-2022-22972(CVSS评分:9.8),涉及身份验证绕过,它可以使具有UI网络访问权限的行为者无需事先身份验证即可获得管理访问权限。另一个漏洞被跟踪为CVE-2022-22973(CVSS 分数:7.8),是一个本地特权提升漏洞,可以使具有本地访问权限的攻击者在易受攻击的虚拟设备上提升到“root”用户的权限。
https://thehackernews.com/2022/05/vmware-releases-patches-for-new.html
6 近200万德克萨斯人的个人信息被曝光
由于得克萨斯州保险部(TDI)的一个编程问题,近200万德克萨斯人的个人信息被暴露了近三年。该部门透露,在上周发布的一份州审计报告中,从2019年3月至2022年1月,已在网上公开了180万名提出赔偿要求的工人的详细信息。这包括社会安全号码、地址、出生日期、电话号码和有关工伤的信息。TDI表示,它于2022年1月4日首次意识到管理工人薪酬信息的TDI web应用程序存在安全问题,此问题使公众能够访问在线应用程序的受保护部分。
https://www.infosecurity-magazine.com/news/personal-information-two-million/
页:
[1]