疑似Kimsuky組織攻擊活動披露

1、疑似Kimsuky組織攻擊活動披露

近日，360高級威脅研究院在日常高價值樣本狩獵過程中，捕獲疑似Kimsuky（APT-C-55）組織利用商業軟件Web Browser Password Viewer進行測試的樣本，疑似測試收集用戶瀏覽器密碼信息功能。

360高級威脅研究院安全研究人員分析稱，此次捕獲樣本疑似在測試階段，功能尚不完善。初始載荷與近期Kimsuky組織投遞的hancom載荷樣本有所差異。樣本利用RC4+ZLIB解密出后續載荷, 載荷后續注入到svchost.exe進程中。且捕獲的樣本并沒有進行持久化的注冊表寫入操作，收集的信息，也沒有相關上傳操作。[點擊“閱讀原文”查看詳情]

2、惡意PyPI Python，竊取Discord安裝shell

有網絡安全研究人員發現了11個惡意Python包，據悉這些包已從Python包索引 (PyPI) 存儲庫中累計下載超過41000次，極有可能被用來竊取Discord訪問令牌、密碼。

消息披露后，Python包已從存儲庫中刪除 importantpackage / important-package、pptest、ipboards、owlmoon、DiscordSafety、trrfab、10Cent10 / 10Cent11、yandex-yt、yiffparty等內容。[點擊“閱讀原文”查看詳情]

3、Memento勒索組織借WinRAR作亂

Sophos發布報告披露了Memento勒索軟件組織近期的攻擊活動。報告顯示，今年10 月Memento勒索軟件組織開始活躍，其利用VMware vCenter Server Web客戶端中的一個漏洞，從而獲得對目標網絡的初始訪問權限。

據悉，該漏洞編號為CVE-2021-21971，評分為 9.8，任何遠程訪問vCenter服務器443端口的人都可以利用該漏洞進行管理，執行命令。雖然，早在今年二月已發布了該漏洞的修復補丁，但仍存在未修復的企業客戶，這也就給Memento勒索軟件組織利用此漏洞實施攻擊埋下了禍根。[點擊“閱讀原文”查看詳情]

4、風電巨頭維斯塔斯因網絡攻擊，關閉部分IT系統

北美風力渦輪機制造巨頭維斯塔斯突遭網絡攻擊，被迫關閉企業受影響IT系統。維斯塔斯作為北美領先的風力渦輪機制造商，在美國、加拿大兩地市場占有極高的份額。

該公司公布消息稱，19日其遭受了一次網絡攻擊，受網絡攻擊影響被迫關閉了多個業務部門和地點的IT系統，以防止網絡攻擊進一步蔓延。與此同時，受網絡攻擊影響，維斯塔斯部分工廠被迫放緩生產進度。現階段，維斯塔斯正在全力恢復IT系統，但尚未給出確切的修復時間。[點擊“閱讀原文”查看詳情]

5、GoDaddy數據泄露影響百萬用戶

GoDaddy，一家為中小企業提供線上解決方案的域名注冊商，在全球擁有超2000萬客戶，管理著8200萬+域名，而在近日其卻因網絡攻擊，導致數百萬用戶數據泄露。據悉，不明身份的黑客，通過一系列攻擊手段拿到了該公司WordPress 的訪問權限后，進而拿到120萬客戶數據。

需要注意的是，GoDaddy近期發現網絡攻擊，但從分析來看，攻擊者早在9月已可訪問其網絡，也就是說至少從2021年9月開始數據泄露已經發生。[點擊“閱讀原文”查看詳情]