0827-5th域微訊晨報-伊朗黑客利用Log4shell漏洞-趨勢警示新勒索軟件-黑山稱遭到俄網攻-反作弊驅動程序被勒索者利用
1、伊朗黑客利用SysAid應用程序中的Log4Shell實施網絡攻擊
微軟表示,它追蹤的威脅者Mercury已知會利用Log4j漏洞,但它已經針對易受攻擊的VMware軟件這樣做了,這似乎是他們第一次針對SysAid應用程序。這家科技巨頭以“適度的信心”評估黑客已經利用了SysAid服務器實例。SecurityWeek不知道威脅參與者利用Log4Shell攻擊SysAid應用程序的任何其他攻擊。提供IT服務管理解決方案的 SysAid在Log4Shell漏洞曝光后不久就解決了該漏洞,但似乎有些實例仍未修補。Mercury也被稱為Seedworm、Static Kitten和MuddyWater。今年早些時候,美國政府正式將該組織與伊朗情報和安全部聯系起來。在微軟于7月下旬觀察到的攻擊中,Mercury以位于以色列的組織為目標。伊朗團體瞄準以色列的情況并不少見。“攻擊者在 2022年初利用Log4j漏洞攻擊VMware應用程序,并可能尋找類似易受攻擊的面向互聯網的應用程序。提供IT管理工具的SysAid可能因其在目標國家的存在而成為一個有吸引力的目標,”微軟表示。在獲得對目標系統的訪問權限后,黑客建立了持久性,轉儲憑據,并使用各種工具在組織內橫向移動。威脅行為者進行了動手鍵盤活動。微軟解釋說:“利用SysAid成功地使攻擊者能夠丟棄并利用Web shell來執行多個命令。” “大多數命令都與偵察有關,使用一個編碼的PowerShell來下載攻擊者的橫向移動和持久性工具。”
2、趨勢科技對名為Agenda的新勒索軟件發出警報
網絡安全公司趨勢科技正在對一個名為Agenda的新勒索軟件系列發出警報,該系列已被用于攻擊亞洲和非洲的組織。該威脅以 Golang (Go) 跨平臺編程語言編寫,能夠以安全模式重新啟動系統并停止特定于服務器的進程和服務。Agenda針對基于Windows的系統,并已被用于攻擊印度尼西亞、沙特阿拉伯、南非和泰國的醫療保健和教育組織。更重要的是,趨勢科技表示,觀察到的樣本是為每個受害者定制的,每個受害者要求的贖金金額也不同——介于 50,000美元到800,000美元之間。“每個勒索軟件樣本都是為目標受害者定制的。我們的調查表明,樣本泄露了賬戶、客戶口令和用作加密文件擴展的唯一公司ID,”趨勢科技指出。Agenda支持多個命令行參數,構建運行時配置以定義其行為,刪除卷影副本,終止各種防病毒進程和服務,并創建指向自身副本的自動啟動條目。此外,勒索軟件會更改默認用戶的口令,然后使用修改后的憑據啟用自動登錄。它以安全模式重新啟動機器,并在重新啟動時開始加密數據。趨勢科技已經確定了Agenda與知名勒索軟件系列之間的相似之處,包括Black Basta、Black Matter和REvil(又名Sodinokibi)。具體來說,Agenda的支付站點和在其Tor站點上實施的用戶驗證類似于Black Basta和Black Matter,而在安全模式下更改Windows口令和重啟系統的能力類似于Black Basta和REvil。
3、勒索軟件運營者濫用反作弊驅動程序以禁用防病毒軟件
據網絡安全公司Trend Micro報道,攻擊者濫用Genshin Impact視頻游戲的易受攻擊的反作弊驅動程序來禁用防病毒程序,以促進勒索軟件的部署。驅動程序mhyprot2.sys提供反作弊功能,但可用于繞過從用戶模式到內核模式的權限,并終止與端點保護應用程序相關的進程和服務。趨勢科技指出,驅動程序的使用獨立于Genshin Impact游戲,即使在游戲被卸載后仍保留在用戶設備上。據稱,該驅動程序使用有效證書進行簽名,這意味著它可以繼續在用戶的計算機上運行,從而使他們面臨惡意濫用。此外,趨勢科技相信其他惡意軟件家族也可能很快開始瞄準它。“這個勒索軟件只是我們注意到的第一個惡意活動實例。威脅參與者旨在在受害者的設備中部署勒索軟件,然后傳播感染。由于mhyprot2.sys可以集成到任何惡意軟件中,我們正在繼續調查以確定驅動程序的范圍,”該公司的安全研究人員說。自2020年10月Genshin Impact發布后不久,mhyprot2.sys模塊很容易獲得,利用它來讀取/寫入內核內存、終止進程和枚舉系統資源的概念驗證(PoC)代碼已公開可用。研究人員說,該驅動程序的多功能性,再加上制作精良的PoC代碼的存在,表明該驅動程序的使用可能比一些已知的rootkit更普遍。作為已分析攻擊的一部分,攻擊者向域控制器部署了一個偽裝成AVG Internet Security的惡意Windows安裝程序,該安裝程序在其他文件中刪除并執行了易受攻擊的驅動程序。根據趨勢科技的說法,攻擊者可能試圖通過啟動/登錄腳本從域控制器大規模部署勒索軟件。
4、 CISA警告:攻擊者已經利用了Delta Electronics工業自動化軟件的一個漏洞
影響Delta Electronics工業自動化軟件的一個漏洞似乎已被利用在攻擊中,美國網絡安全和基礎設施安全局 (CISA)正在敦促組織盡快采取行動。CISA周四(25日)在其已知被利用漏洞目錄中增加了10個安全漏洞,并指示聯邦機構在9月15日之前解決這些漏洞。其中一個漏洞是CVE-2021-38406,這是一個影響Delta Electronics DOPSoft軟件的高嚴重性遠程代碼執行漏洞,該軟件用于設計和編程人機界面(HMI)。該漏洞是一個越界寫入問題,可以通過讓目標用戶打開特制項目文件來利用它。CISA于2021年9月發布了一份報告,描述了此漏洞和其他 DOPSoft漏洞。當時,該機構通知用戶,由于產品已達到使用壽命,并且供應商一直在建議客戶切換到受支持的軟件,因此這些漏洞將不會被修補. CISA現在表示,如果該產品仍在使用中,則應將其移除。除了Palo Alto Networks于8月19日發布的一篇博客文章外,似乎沒有任何公開報告描述利用此漏洞的情況,其中列出了根據該公司在2月之間收集的數據在野外利用的幾個漏洞。博客文章中列出了CVE-2021-38406,但沒有提供有關利用它的攻擊的信息。SecurityWeek已聯系 Palo Alto Networks,以獲取有關利用CVE-2021-38406的更多信息。正如最近的SecurityWeek分析所指出的那樣,威脅行為者進行不分青紅皂白的互聯網掃描活動并針對操作技術(OT)產品中的漏洞并不少見,但這并不意味著目標漏洞實際上已在攻擊中被利用——只是他們可能。工業控制系統(ICS)中的漏洞在攻擊中實際被利用的情況很少見。然而,CISA最近澄清說,只有有可靠證據證明被利用的漏洞才會被添加到其“必須修補”列表中。
5、Atlassian針對關鍵Bitbucket漏洞發布緊急補丁
Atlassian的安全響應團隊已發布緊急公告,警告其Bitbucket服務器和數據中心產品中存在嚴重的命令注入漏洞。 Atlassian表示,該漏洞的CVSS嚴重性評分為9.9分,可以遠程利用來發起代碼執行攻擊。 Atlassian表示,被跟蹤為CVE-2022-36804的安全漏洞是在Bitbucket Server and Data Center的7.0.0 版本中引入的。 警報稱: “Bitbucket Server and Data Center的多個API端點存在命令注入漏洞。 有權訪問公共Bitbucket存儲庫或對私有存儲庫具有讀取權限的攻擊者可以通過發送惡意HTTP請求來執行任意代碼。 6.10.17之后發布的所有版本(包括7.0.0 及更高版本)都會受到影響,這意味著所有運行7.0.0和8.3.0(包括)之間任何版本的實例都可以被此漏洞利用。 ”該公司表示,Atlassian Cloud站點不受此問題的影響。 Atlassian披露了一個新的嚴重性問題,此前有記錄表明該澳大利亞公司廣泛部署的Confluence軟件產品受到了野外攻擊。 僅今年一年,美國政府的網絡安全響應機構CISA就在其KEV(Known Exploited Vulnerabilities)目錄中列出了四個不同的Atlassian軟件漏洞。
6、食品配送公司DoorDash披露了與Twilio黑客有關的新數據泄露
食品配送公司DoorDash披露了一項數據泄露事件,該事件暴露了與最近對Twilio的網絡攻擊有關的客戶和員工數據。在25日下午發布的安全公告中,DoorDash表示,威脅行為者使用從有權訪問其系統的第三方供應商處竊取的憑據獲得了對公司內部工具的訪問權限。“DoorDash最近檢測到來自第三方供應商的計算機網絡的異常和可疑活動。作為回應,我們迅速禁止供應商訪問我們的系統并控制了事件,”DoorDash安全通知解釋道。黑客利用這種對DoorDash內部工具的訪問權限來訪問消費者和員工的數據。暴露的信息包括消費者的姓名、電子郵件地址、送貨地址和電話號碼。此外,對于一小部分客戶,黑客訪問了基本訂單信息和部分信用卡信息,包括卡類型和卡號的最后四位數字。對于公司的員工(稱為Dashers),黑客可能已經訪問了姓名、電話號碼和電子郵件地址。雖然DoorDash沒有提及第三方供應商的名稱,但這家食品配送公司告訴TechCrunch ,該漏洞與最近對Twilio的網絡攻擊相同的威脅行為者有關。DoorDash此前曾在2019年遭遇數據泄露,導致近500萬客戶的數據泄露。本月早些時候,Twilio透露, 在多名員工因SMS網絡釣魚攻擊而遭受攻擊后,他們遭到破壞,該攻擊允許威脅參與者訪問內部系統。
7、美國FCC調查顯示頂級移動運營商平均保留地理位置數據兩年
根據聯邦通信委員會25日公布的電信公司的信息,排名前15的移動運營商中有10家收集地理位置數據,消費者無法選擇退出。運營商對FCC關于數據收集和保留的問題的回答是為了響應該機構7月提出的尋求地理定位實踐信息的請求,因為他們擔心執法部門如何使用電話數據來逮捕那些在這些州尋求墮胎的人。程序現在是非法的或將很快被取締。“我們的手機非常了解我們。這意味著運營商知道我們是誰,我們給誰打電話,以及我們在任何特定時刻的位置,”FCC主席Jessica Rosenworcel說。“這些信息和地理位置數據非常敏感。這是我們去過哪里以及我們是誰的記錄。這就是FCC采取措施確保這些數據受到保護的原因。”在他們的回復中,公司普遍認為需要遵守執法要求以及FCC規則是他們無法讓消費者選擇退出收集和保留的原因。這些回復還提供了一個了解數據保留實踐的窗口,為響應公司的蜂窩塔數據保留了兩個月到五年不等。只有七家公司明確提到通過加密保護這些數據。運營商在他們之前如何使用他們的地理位置數據方面誤導了消費者。2020年,FCC提議對幾家主要運營商處以2億多美元的罰款,因為這些運營商向保釋金公司和其他第三方出售客戶位置數據。
8、黑山報告稱俄羅斯對政府發起大規模網絡攻擊
黑山安全機構26日警告說,來自俄羅斯的黑客已經對這個小國的政府及其服務發起了大規模、協調的網絡攻擊。國家安全局ANB)示,黑山“目前正處于一場混合戰爭中”。亞得里亞海國家曾被視為俄羅斯的強大盟友,但在2017年不顧莫斯科的強烈反對加入了北約。它還加入了西方對俄羅斯入侵烏克蘭的制裁。除大多數歐洲國家外,俄羅斯還將黑山列入其“敵國”名單,理由是其行為違背了克里姆林宮的利益。黑山政府本周早些時候首先報告了對其服務器的一系列網絡攻擊,但表示它設法防止了任何損害。然而,攻擊似乎仍在繼續。“俄羅斯是網絡攻擊的幕后黑手,”ANB在一份聲明中說。“這種襲擊是在黑山第一次進行,并且已經準備了很長時間。”政府官員杜桑·波洛維奇說:“我可以肯定地說,黑山最近遭受的這次襲擊直接來自俄羅斯。”美國駐黑山大使館警告其在巴爾干國家的公民要注意“正在進行的持續和持續的網絡攻擊”。“攻擊可能包括對公用事業、交通(包括邊境口岸和機場)和電信部門的破壞,”它說。
