首頁 > 安全研究 > 安全通報 > 安全簡訊

Resecurity表示2022年Q2針對執法機構的攻擊事件增加

發布時間 2022-07-08

1、Resecurity表示2022年Q2針對執法機構的攻擊事件增加


7月6日,Resecurity發布報告稱在2022年第二季度,針對執法機構的攻擊事件增加。通常,攻擊者會使用社工攻擊策略,最近的趨勢是針對主要的技術公司和在線服務(如 Apple、Facebook (Meta)、Snapchat、Discord)發送偽造的傳票和EDR(緊急數據請求),來收集有關其目標的信息。Resecurity在多個暗網市場中發現出售警察的帳戶和憑據(電子郵件、VPN和SSO等)的情況。研究表明,此類惡意活動在拉丁美洲、東南亞國家和離岸司法管轄區尤為明顯。


https://resecurity.com/blog/article/cybercriminals-are-targeting-law-enforcement-agencies-worldwide


2、Cisco發布安全更新,修復多個產品中的10個漏洞


Cisco在7月6日發布安全更新,修復了涉及多款產品的10個漏洞。其中,最嚴重的是影響Cisco Expressway系列和Cisco TelePresence Video Communication Server(VCS)的漏洞(CVE-2022-20812和CVE-2022-20813),可被遠程攻擊者用來覆蓋任意文件或對目標設備進行空字節中毒攻擊。其次,是Smart Software Manager On-Prem中的一個漏洞(CVE-2022-20808),可被經過身份驗證的遠程攻擊者用來執行拒絕服務(DoS)攻擊。


https://thehackernews.com/2022/07/cisco-and-fortinet-release-security.html


3、與朝鮮相關的勒索軟件Maui針對美國各地的醫療機構


7月6日,美國FBI、CISA和財政部發布聯合咨詢,稱與朝鮮有關的攻擊者利用勒索軟件Maui攻擊其醫療保健和公共衛生(HPH)組織。該活動至少自2021年5月開始,攻擊者利用Maui加密負責醫療服務的服務器,包括電子健康記錄服務、診斷服務、成像服務和內網服務。Stairwell在2022年4月收集了第一個Maui樣本,但所有Maui的編譯時間戳均為2021年4月15日。與其它勒索軟件不同的是,Maui不會在被加密的系統上留下勒索字條。這些機構表示,攻擊可能還會繼續,并為HPH組織提供了一系列措施來準備、預防和應對此類事件。


https://www.cisa.gov/uscert/ncas/current-activity/2022/07/06/north-korean-state-sponsored-cyber-actors-use-maui-ransomware


4、SecuInfra透露Bitter繼續攻擊孟加拉國的軍事機構


SecuInfra在7月5日透露其在近期發現,APT組織Bitter(也稱T-APT-17)針對孟加拉國的攻擊活動。該團伙至少從2013年就開始活躍,主要針對巴基斯坦。最新的攻擊是在2022年5月中旬開始的,始于一個武器化的Excel文檔,該文檔可能通過魚叉式釣魚郵件分發的,郵件在被打開時會利用Microsoft公式編輯器漏洞(CVE-2018-0798)從遠程服務器中下載下一階段的二進制文件,下載的payload是ZxxZ,攻擊還利用了惡意軟件BitterRAT。


https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/


5、Unit 42發現黑客濫用紅隊滲透工具BRc4的攻擊活動


據媒體7月6日報道,Unit 42發現有一個包含與Brute Ratel C4(BRc4)相關的payload惡意軟件樣本被上傳到VirusTotal數據庫。BRc4由安全研究人員Chetan Nayak開發,類似于Cobalt Strike,是最新上市的紅隊和對抗性攻擊模擬工具。該樣本是從斯里蘭卡上傳的,偽裝成Roshan Bandara的個人簡歷("Roshan_CV.iso"),但實際上是一個光盤鏡像文件。當目標雙擊該文件時,會將其掛載為一個Windows驅動器,其中包含一個看似無害的Word文檔。啟動后,它會在目標設備上安裝BRc4,并與遠程服務器建立通信。通過打包方式,研究人員將該活動歸因于APT29。


https://thehackernews.com/2022/07/hackers-abusing-brc4-red-team.html


6、Intezer發布關于新Linux惡意軟件OrBit的分析報告


7月6日,Intezer披露了一種全新的Linux惡意軟件OrBit,這標志著針對流行操作系統的攻擊活動的增長。報告指出,該惡意軟件實現了先進的繞過技術,并通過hook關鍵功能在設備上獲得持久性,通過SSH為攻擊者提供遠程訪問功能,收集憑證并記錄TTY命令。其功能很像Symbiote,旨在感染目標上所有正在運行的進程。但后者利用LD_PRELOAD環境變量來加載共享對象,而OrBit采用了兩種不同的方法:將共享對象添加到加載程序使用的配置文件中;修改加載程序本身的二進制文件來加載惡意共享對象。


https://www.intezer.com/blog/incident-response/orbit-new-undetected-linux-threat/

上一篇 下一篇