每日安全简讯(20220321)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现新的初始访问代理Exotic Lily

谷歌的威胁分析小组（TAG）发现了一个新的初始访问代理，名为Exotic Lily，它与Conti勒索软件团伙密切相关。Exotic Lily于2021年9月首次被发现，当时有人观察到它传播了Conti和Diavol勒索软件。Exotic Lily网络犯罪组织在其网络钓鱼活动中利用了微软Windows MSHTML漏洞（CVE-2021-40444）。专家观察到，威胁参与者在其活动高峰期每天向全球650个目标实体发送超过5000封以商业提案为主题的电子邮件。对Exotic Lily通信活动的分析显示，该组织从9点工作到5点，周末几乎没有活动，表明他们可能在中欧或东欧时区工作。


https://securityaffairs.co/wordp ... -access-broker.html

---

2 美国全国步枪协会证实遭到勒索软件攻击

美国全国步枪协会，即NRA，是美国最大的枪械拥有者组织。该协会已证实，去年确实遭到了网络犯罪分子的攻击。去年10月，一个自称“Grief”的勒索软件团伙声称入侵了枪支游说团体的服务器，并窃取了敏感的内部文件。它泄露了声称是在事件中被盗的文件的截图。根据文件，勒索软件攻击于2021年10月20日袭击了美国全国步枪协会，导致整个组织离线。NRA的员工直到11月的第二周才重新获得对互联网、电子邮件收件箱或网络文件的完全访问权。Grief在11月泄露了其他文件，包括银行帐号和其他“敏感的个人和财务信息”，似乎仍在等待NRA支付赎金。


https://gizmodo.com/nra-confirms ... ng-grief-1848673536

---

3 牛奶生产商Hood Dairy遭到网络攻击

Hood Dairy是美国新英格兰地区最大的8盎司包装学校牛奶生产商。H.P Hood Dairy遭到网络攻击，导致新罕布什尔州的Contoocook Valley学区的学校将受到牛奶短缺的影响。该学区表示，他们在周三被告知该奶制品公司受到了网络攻击。校长在一份声明中说，学校预计未来几周将出现牛奶短缺。


https://www.nbcboston.com/news/l ... ict-doesnt/2671112/

---

4 MySQL和SQL Server遭到恶意软件攻击

安全供应商AhnLab表示，甲骨文的开源MySQL和微软的SQL Server已受到Gh0stCringe恶意软件的攻击，该恶意软件也称为CirenegRAT，是基于较早的Gh0st RAT后门程序。Gh0stCringe支持多个命令以及可以在恶意软件联系其命令和控制服务器后启用的功能，或者在部署期间通过设置数据启用这些功能。攻击者可以命令Gh0stCringe从C2服务器下载加密矿工等有效载荷，通过Internet Explorer web浏览器连接到特定网站，还可以破坏启动磁盘上的主引导记录（MBR）。AhnLab指出，它还可以收集发送到C2服务器的Windows系统和安全产品信息。


https://www.itnews.com.au/news/p ... nge-backdoor-577485

---

5 安全厂商发布Diavol勒索软件的免费解密器

网络安全公司Emsisoft发布了一个免费的解密器，帮助Diavol勒索软件的受害者在不支付赎金的情况下恢复他们的文件，该公司还发布了该工具的指南。1月，FBI正式将Diavol勒索软件活动与臭名昭著的TrickBot团伙联系起来。专家指出，解密程序不能保证解密后的数据与之前加密的数据相同，因为勒索软件不会保存有关未加密文件的任何信息。


https://securityaffairs.co/wordp ... vol-ransomware.html

---

6 dompdf软件库中漏洞会导致远程代码执行

安全研究人员声称，用于从HTML文档呈现PDF的流行软件库dompdf存在未修补的漏洞，该漏洞会造成远程代码执行（RCE）风险。尽管在最新版本的dompdf（v1.2.0）中它仍未修补，但可以通过确保该软件不在web可访问目录中来解决该漏洞。该软件库允许潜在的攻击者将扩展名为.php的字体文件上传到web服务器。由于这个安全缺陷，可能会滥用反射型跨站点脚本（XSS）问题来导航到上传的.php脚本，从而为潜在的攻击者提供了一种在易受攻击的系统上执行代码的方法。


https://portswigger.net/daily-sw ... ering-vulnerability

---