设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20220710)
返回列表 发新帖

每日安全简讯(20220710)

[复制链接]
发表于 2022-7-9 21:02 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 攻击者利用虚假版权投诉分发IcedID恶意软件

本周,研究人员发现了一个新版本的伪装成来自Zoho的“侵犯版权”威胁,称用户正在使用他们受版权保护的图像。当收件人点击版权投诉中的forms[.]yandex[.]com链接时,他们会被带到一个网页,上面写着“文件‘被盗图像证据’可供下载。”一段时间后,Yandex表单将下载名为“Stolen_ImagesEvidence.iso”的ISO文件。双击ISO文件后将打开一个新的驱动器号,其中包含一个文件夹和一个随机命名的DLL文件。该文档文件夹实际上是一个Windows快捷方式,双击该快捷方式将导致使用rundll32执行恶意DLL文件。此DLL是IcedID的加载程序,IcedID是一种模块化银行木马。

yandex-forms.jpg
https://www.bleepingcomputer.com ... using-yandex-forms/
Fake copyright complaints push IcedID malware using Yandex Forms.pdf (3.58 MB, 下载次数: 22)

2 HavanaCrypt勒索软件冒充谷歌软件更新应用

研究人员最近发现了一个新的勒索软件家族,称之为HavanaCrypt,它伪装成谷歌软件更新应用程序,并使用微软网络托管服务IP地址作为其命令和控制服务器来规避检测。研究还表明,该勒索软件在其文件加密例程中使用了QueueUserWorkItem函数,是一个.NET的System.Threading命名空间方法,该方法在文件加密例程期间对方法进行排队以执行;还使用了开源密码管理器KeePass Password Safe的模块。

Fig 24_HavanaCrypt Ransomware.jpg
https://www.trendmicro.com/en_us ... oftware-update.html

3 美国沙漠学院遭到网络攻击导致在线服务中断

位于加利福尼亚州棕榈沙漠的沙漠学院(College of the Desert)遭到网络攻击,导致学校的在线服务和校园电话线路中断。该学校在Twitter和Facebook上解释说,大多数在线服务都在系统范围内中断,但指出Canvas、Adobe和Microsoft Teams等程序仍然可供学生使用。在中断期间,沙漠学院表示,学生不会因为未支付费用而被辍学,并确认课程没有被取消或受到攻击的影响。

college.PNG
https://therecord.media/cyberatt ... -website-landlines/

4 研究人员发现恶意PyPI包窃取Telegram缓存文件

本周Sonatype发现了多个恶意PyPI包,它们会在用户的Windows电脑上建立新的远程桌面用户帐户,也会从用户的Telegram Desktop客户端窃取加密的Telegram数据文件。“flask-requests-complex”和“php-requests-complex”这两个包都包含将攻击者创建的新用户帐户添加到Windows上的“远程桌面用户”组的代码,允许攻击者随意RDP进入系统。“tkinter-message-box”包会尝试定位用户的Telegram Desktop客户端存储其“tdata”文件的位置。所有这些包都是由同一个PyPI帐户“ternaryternary”发布的,该账户迄今为止总共发布了7个包,几乎所有这些包都是可疑的。

image-png-Jul-06-2022-10-19-21-51-AM.jpg
https://blog.sonatype.com/pypi-p ... te-desktop-accounts

5 思科发布安全更新修复了影响多个产品的漏洞

思科发布了安全补丁,以解决Expressway系列和TelePresence Video Communication Server(VCS)中的一个关键漏洞,该漏洞被跟踪为CVE-2022-20812(CVSS评分9.0)。远程攻击者可以触发该漏洞,以使用root权限覆盖底层操作系统上的文件。该漏洞影响Expressway Control(Expressway-C)和Expressway Edge(Expressway-E)设备。思科还解决了一个空字节中毒问题,在Expressway系列和TelePresence VCS中被跟踪为CVE-2022-20813(CVSS评分9.0)。这两个问题已在Expressway系列和TelePresence VCS版本14.0.7中得到解决。

Cisco.png
https://securityaffairs.co/wordp ... xpressway-flaw.html

6 PFC公司遭到勒索软件攻击泄露客户个人信息

Professional Finance Company Inc.(PFC)是一家提供全方位服务的应收账款管理公司,该公司表示,2月底的勒索软件攻击导致数据泄露,影响了600多家医疗机构。该公司于5月5日开始通知受影响的医疗服务提供商的患者,称正在进行的调查发现,攻击者在加密PFC的一些系统之前,访问了包含他们个人信息的文件。攻击期间暴露的敏感信息包括患者的姓名、地址、应收账款余额以及与账户支付有关的信息。PFC的首席执行官称,Quantum勒索软件团伙的成员是2月攻击的幕后黑手。

Quantum_ransom_note.jpg
https://www.bleepingcomputer.com ... 57-healthcare-orgs/
Quantum ransomware attack affects 657 healthcare orgs.pdf (2.09 MB, 下载次数: 49)
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2025-1-10 07:05

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表