安全资讯报告
全球检测到超过270万例Emotet恶意软件案例
据一家美国信息安全公司称,自去年年底以来,全球已发现超过270万起涉及Emotet恶意软件的案件,该恶意软件被认为是世界上最危险的恶意软件,尽管其服务器早些时候在国际执法行动中被拆除。
Emotet通过电子邮件附件发送后感染计算机,近几个月来迅速传播,11月确诊病例90,000例,1月确诊病例107万例。Proofpoint Inc.表示,2月初发现了超过125万例病例。
在日本,包括家居用品制造商Lion Corp.和住宅建筑商Sekisui House Ltd.在内的20多家公司和组织据信受到了该恶意软件的攻击。专家警告说,该恶意软件于2014年首次出现,可以窃取敏感信息。它通常通过伪装成客户和朋友回复消息的电子邮件传递。
新闻来源:
https://english.kyodonews.net/news/2022/02/1b60294a9bb3-over-27-million-cases-of-emotet-malware-detected-globally.html
网络犯罪集团多年来一直以航空和运输部门为目标
安全公司Proofpoint在一份报告中表示,至少自2017年以来,一个鲜为人知的网络犯罪集团一直在无情地针对多个行业的公司,包括航空、国防和交通运输。
使用代号TA2541进行跟踪,该组织一直是近年来最持久的威胁之一,即使他们的攻击在很大程度上并不复杂,并且依赖于在目标网络上感染和部署商品恶意软件。
Proofpoint表示TA2541攻击通常遵循相同的模式,即依靠大量鱼叉式网络钓鱼电子邮件来接近目标。这些电子邮件几乎总是用英语写成,诱使受害者下载通常托管在云存储提供商上的文件,因为他们知道到这些服务的链接几乎从未在大公司内部被阻止。
下载并执行后,这些文件通常会安装一种称为远程访问木马(RAT)的恶意软件,该恶意软件允许TA2541操作员访问受感染的计算机。
它的垃圾邮件活动从每个活动的数百到数千条消息不等。研究人员说:“似乎在接受者中分布广泛,这表明TA2541并不针对具有特定角色和功能的人。”Proofpoint表示,它也无法确定这些攻击的确切目的和目标是什么,目前还不清楚该组织是否从事任何形式的间谍活动、盗窃或货币化活动。
新闻来源:
https://therecord.media/cybercrime-group-relentlessly-targets-aviation-and-transportation-sectors-for-years/
网络攻击摧毁了乌克兰军队和主要银行的站点
乌克兰当局表示,由于R国可能入侵的威胁导致紧张局势持续,周二发生的一系列网络攻击使乌克兰军队、国防部和主要银行的网站下线。
尽管如此,没有迹象表明相对较低级别的分布式拒绝服务攻击可能成为更严重和更具破坏性的网络恶作剧的烟幕。
至少有10个乌克兰网站因攻击而无法访问,其中包括国防部、外交部和文化部以及乌克兰最大的两家国有银行。在此类攻击中,网站被大量垃圾数据包淹没,使它们无法访问。
乌克兰网络防御高级官员维克多·佐拉(Victor Zhora)表示:“我们没有任何(可能)被这次DDoS攻击隐藏的破坏性行为的任何信息。”他说,应急小组正在努力切断袭击者并恢复服务。
乌克兰最大的国有银行Privatbank和国有Sberbank的客户报告了在线支付和银行应用程序的问题。网络管理公司Kentik Inc.的互联网分析主管Doug Madory表示,攻击者的目标之一是乌克兰军队和Privatbank的托管服务提供商。
新闻来源:
https://www.securityweek.com/cyberattacks-knock-out-sites-ukrainian-army-major-banks
MyloBot恶意软件变种发送勒索电子邮件,索要2,732美元的比特币
已观察到新版本的MyloBot恶意软件部署了恶意负载,这些负载被用于发送勒索电子邮件,要求受害者支付2,732美元的数字货币。
MyloBot还利用了一种称为进程空心的技术,其中攻击代码被注入到暂停和空心的进程中,以规避基于进程的防御。这是通过取消映射分配给活动进程的内存并将其替换为要执行的任意代码来实现的。
“第二阶段可执行文件在C:\ProgramData下创建一个新文件夹。”Minerva实验室研究员Natalie Zargarov在一份报告中说。“它在系统目录下查找svchost.exe并在挂起状态下执行它。使用APC注入技术,它将自身注入到生成的svchost.exe进程中。”
该恶意软件旨在滥用端点发送勒索消息,暗示收件人的在线行为,例如访问色情网站,并威胁要泄露据称是通过闯入其计算机网络摄像头录制的视频。
新闻来源:
https://thehackernews.com/2022/02/new-mylobot-malware-variant-sends.html
安全漏洞威胁
Microsoft Exchange Server漏洞被用于金融欺诈
Squirrelwaffle、ProxyLogon等针对Microsoft Exchange Server的组合被用于通过电子邮件劫持进行财务欺诈。
Sophos的研究人员披露了最近发生的一起事件,在该事件中,Microsoft Exchange Server的目标是劫持电子邮件线程并传播恶意垃圾邮件,该事件尚未修补以保护其免受去年披露的一系列严重漏洞的侵害。
Sophos记录的最近案例将Microsoft Exchange Server缺陷与Squirrelwaffle结合在一起,Squirrelwaffle是去年首次在恶意垃圾邮件活动中记录的恶意软件加载程序。加载程序通常通过恶意Microsoft Office文档或附加到网络钓鱼电子邮件的DocuSign内容分发。
Sophos表示,在最近的攻击活动中,加载程序是在Microsoft Exchange Server遭到破坏后部署的。该服务器属于一个未命名的组织,用于通过劫持员工之间现有的电子邮件线程,将Squirrelwaffle“大规模分发”到内部和外部电子邮件地址。
在这种情况下,垃圾邮件活动被用来传播Squirrelwaffle,但此外,攻击者还提取了一个电子邮件线程并利用其中的内部知识进行财务欺诈。
新闻来源:
https://www.zdnet.com/article/squirrelwaffle-loader-leverages-microsoft-exchange-server-vulns-for-financial-fraud/
VMware针对中国天府杯期间发现的漏洞发布补丁
在参加中国天府杯的安全研究人员发现这些问题后,VMware于周二发布了针对影响VMware ESXi、Workstation、Fusion和Cloud Foundation的多个漏洞的补丁程序。
该公司发布了安全公告VMSA-2022-0004,并告诉ZDNet,他们鼓励客户“以安全强化配置”部署他们的产品,同时应用所有更新、安全补丁和缓解措施。该公告涵盖CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043和CVE-2021-22050。
“VMware ESXi、Workstation和Fusion在XHCI USB控制器中包含一个释放后使用漏洞。VMware已评估此问题的严重性在重要严重性范围内,最高CVSSv3基本得分为8.4。虚拟机上的本地管理权限可能会利用此问题来执行代码,因为虚拟机的VMX进程在主机上运行,”该公司解释说。它补充说,VMware ESXi、Workstation和Fusion在UHCI USB控制器中也包含一个双取漏洞。
VMware还表示,由于VMX有权设置授权票证,因此ESXi包含未经授权的访问漏洞。它给该问题的最大CVSSv3基本评分为8.2,并指出在VMX进程中具有特权的黑客可能只能访问以高特权用户身份运行的设置服务。
VMware ESXi还存在一个TOCTOU(Time-of-checkTime-of-use)漏洞,该漏洞存在于处理临时文件的方式中。该问题的最大CVSSv3基本分数也为8.2,因为它允许具有设置访问权限的恶意行为者通过编写任意文件来提升其权限。
但Blumira首席技术官Matthew Warner表示,这些漏洞都需要本地访问,在某些情况下,还需要特权本地访问。Warner指出,理论上,如果攻击者利用来宾、进入来宾并在其上安装USB,则可以远程执行CVE-2021-22041。
新闻来源:
https://www.zdnet.com/article/vmware-patches-released-after-vulnerabilities-found-during-tianfu-cup/
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
