首頁 > 安全研究 > 安全通報 > 安全簡訊

ESET發現Sandworm利用SwiftSlicer攻擊烏克蘭的活動

發布時間 2023-01-31
1、ESET發現Sandworm利用SwiftSlicer攻擊烏克蘭的活動

      

ESET研究人員于1月27日稱,在最近一次針對烏克蘭組織的攻擊活動中發現了一種新的數據擦除惡意軟件SwiftSlicer,并將其歸因于APT組織Sandworm。SwiftSlicer于1月25日在目標的網絡上被發現,它通過組策略部署,這表明攻擊者已經控制了目標的Active Directory環境。該惡意軟件是用Go開發的,一旦執行就會刪除卷影副本并覆蓋Windows系統目錄中的關鍵文件,特別是驅動程序和Active Directory數據庫。


https://www.welivesecurity.com/2023/01/27/swiftslicer-new-destructive-wiper-malware-ukraine/ 


2、QNAP發布固件更新修復其NAS設備中的SQL注入漏洞

      

1月30日,QNAP發布了QTS和QuTS的固件更新,以修復可在其NAS設備中注入惡意代碼的漏洞。該漏洞追蹤為CVE-2022-27596,CVSS評分為9.8,影響了QTS 5.0.1和QuTS hero h5.0.1版本。供應商沒有透露有關該漏洞的更多細節,但NIST portal將其描述為SQL注入漏洞。此外,QNAP發布了一個描述該漏洞嚴重性的JSON文件,表明該漏洞可被遠程攻擊者在低復雜程度的攻擊中利用,而無需用戶交互或目標設備上的權限。


https://securityaffairs.com/141588/iot/qnap-addresses-critical-flaw.html   


3、投資研究公司Zacks遭到攻擊導致82萬用戶的信息泄露

      

據媒體1月25日報道,Zacks Investment Research公司的數據泄露事件影響了820000名客戶。Zacks發現部分客戶記錄遭到了未經授權的訪問,經內部調查確定攻擊者在2021年11月至2022年8月之間的某個時間訪問了該網絡。泄露信息包括姓名、地址、電話、郵件地址和Zacks.com網站的用戶密碼。該公司澄清說,此次事件僅影響在1999年11月至2005年2月加入的Zacks Elite的客戶。目前,Zacks重置了受影響用戶的密碼,并實施了額外的安全措施。


https://www.bleepingcomputer.com/news/security/zacks-investment-research-data-breach-affects-820-000-clients/


4、勒索軟件Mimic利用搜索工具Everything查找要加密的文件

      

Trend Micro在1月26日透漏,新的勒索軟件Mimic利用合法工具Everything的API來查找要加密的文件。Everything是Voidtools開發的Windows文件名搜索引擎,可幫助Mimic找到可加密的文件,同時繞開那些加密后會導致系統無法啟動的文件。該勒索軟件于2022年6月首次在野外被發現,主要針對俄語和英語目標。其部分代碼與勒索軟件Conti有相似之處,還可以利用多個處理器線程來加速數據加密過程,具有現代勒索軟件的常見功能。


https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html


5、研究人員在Black Basta攻擊活動中發現PlugX新變體

      

據1月27日報道,研究人員在一次Black Basta的攻擊活動中發現了惡意軟件PlugX的新變體。該變體可以在USB設備上隱藏惡意文件,然后感染它們連接的Windows主機。在此次活動中,攻擊者使用32位版本的Windows調試工具x64dbg.exe和中毒版本的x32bridge.dll,來加載PlugX payload(x32bridge.dat)。目前,在Virus Total掃描平臺上的61種產品中,僅有9種可以將其標記為惡意文件。


https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/


6、Mandiant發布關于Gootkit攻擊活動演變的分析報告

      

Mandiant在1月26日發布了關于Gootkit攻擊活動的分析報告。自2021年1月以來,Mandiant一直在跟蹤UNC2565的Gootkit的活動。研究人員發現,從2022年開始UNC2565對其活動中使用的TTP進行更改,包括使用FONELAUNCH launcher的多個變體、分發新的后續payload以及對Gootkit下載程序和感染鏈的更改。此外,報告還介紹了惡意軟件用來隱藏其代碼的多種方法,并提供可以自動執行反混淆過程的腳本。


https://www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations


上一篇 下一篇