每日安全简讯(20220610)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Cuba勒索软件组织推出了一种新的恶意软件变种
Cuba勒索软件是一个恶意软件家族,根据联邦调查局的官方通知,该组织于2021年11月重新出现,据报道,它袭击了5个关键基础设施部门的49个组织,累积了至少4390万美元的赎金。今年3月和4月,研究人员观察到了Cuba勒索软件的复苏,据监测显示,恶意软件的作者似乎正在推动一些更新到当前的二进制的新变种。在四月底,研究人员注意到Cuba勒索软件的新变种,这次的目标是两个总部位于亚洲的组织,Cuba勒索软件的更新在整体功能上没有太大的改变,更新的目的是优化其执行,最大限度地减少意外系统行为,并在勒索软件受害者选择协商时为他们提供技术支持。下图是Cuba 勒索软件试图终止的进程和服务列表的屏幕截图。
https://www.trendmicro.com/en_us/research/22/f/cuba-ransomware-group-s-new-variant-found-using-optimized-infect.html
2 Emotet新变种从Google Chrome窃取用户的信用卡信息
2021年1月,在一次执法行动摧毁了其攻击基础设施后,Emotet活动中断了10个月,自去年年底恢复以来,该组织的活动激增。臭名昭著的恶意软件Emotet已经转向部署了一个新模块,用于窃取存储在Chrome网络浏览器中的信用卡信息。据企业安全公司Proofpoint的消息,这个专门针对Chrome浏览器的信用卡信息的Emotet新变种有能力将收集到的信息转移到不同的远程命令与控制(C2)服务器上。
https://thehackernews.com/2022/06/new-emotet-variant-stealing-users.html
3 Black Basta勒索软件现在支持加密VMware ESXi服务器
Black Basta勒索软件团伙现在支持对在Linux服务器上运行的VMware ESXi虚拟机(VM)进行加密。研究人员首先报告了发现了新的Black Basta勒索软件变种,该变体支持对VMWare ESXi服务器进行加密。此举旨在扩大潜在目标,对VMware ESXi的加密已经被许多勒索软件家族实现,包括LockBit、HelloKitty、BlackMatter和REvil。Black Basta自2022年4月以来一直活跃,像其他勒索软件操作一样,它实现了双重勒索攻击模型。勒索软件会在加密的文件名后面附加.basta扩展名,并在每个文件夹中创建名为readme.txt的勒索提示。
https://securityaffairs.co/wordpress/132037/hacking/black-basta-ransomware-vmware-esxi.html
4 Linux僵尸网络正在利用关键的Atlassian Confluence漏洞
一些僵尸网络现在正在利用一个关键的远程代码执行(RCE)漏洞来感染运行运行未修补的Atlassian Confluence Server和数据中心的Linux服务器。成功利用该漏洞(被跟踪为CVE-2021-26084)允许未经身份验证的攻击者创建新的管理帐户、执行命令,并最终远程接管服务器。在概念证明(PoC)被公布在网上后,网络安全公司GreyNoise表示,它检测到活跃的漏洞利用几乎增加了10倍,从23个试图利用它的IP地址增加到200多个。在这些攻击者中,研究人员发现了三个僵尸网络,分别为Kinsing、Hezb和Dark.IoT,这些僵尸网络以针对易受攻击的Linux服务器部署后门和挖矿工具而闻名。
https://www.bleepingcomputer.com/news/security/linux-botnets-now-exploit-critical-atlassian-confluence-bug/
5 网络钓鱼活动利用Facebook Messenger诱导用户查看广告
研究人员发现了一个大规模的网络钓鱼,该操作滥用Facebook和Messenger,诱使数百万用户进入网络钓鱼页面,诱使他们输入帐户凭证并看到广告。网络钓鱼攻击者利用这些窃取的账户向他们的朋友发送更多的钓鱼信息,通过在线广告佣金赚取了巨额收入。据总部位于纽约的专注于人工智能的网络安全公司PIXM称,该活动在2022年4月至5月达到顶峰,但至少自2021年9月以来一直很活跃。随着越来越多的 Facebook 账户被盗,攻击者使用自动化工具向被盗账户的朋友发送更多网络钓鱼链接,从而导致被盗账户数量大幅增长。
https://www.bleepingcomputer.com/news/security/massive-facebook-messenger-phishing-operation-generates-millions/
6 微软支持诊断工具新漏洞“DogWalk”获得非官方补丁
尽管Follina漏洞仍在继续被利用,但针对微软支持诊断工具(MSDT)中新的Windows零日漏洞的非官方安全补丁已经发布。这个漏洞被称为DogWalk,与一个路径遍历漏洞有关,当潜在目标打开一个特殊制作的“.diagcab”存档文件时,可利用该漏洞将恶意可执行文件存储到Windows启动文件夹中,在受害者下次重新启动后登录系统时,将执行有效载荷。该漏洞影响所有Windows版本,从Windows 7、Server Server 2008到最新版本。DogWalk最初是由安全研究员Imre Rad于2020年1月披露的,此前微软承认了这个问题,认为它不是安全问题。
https://thehackernews.com/2022/06/researchers-warn-of-unpatched-dogwalk.html
页:
[1]