首頁 > 安全研究 > 安全通報 > 安全簡訊

新勒索軟件MalasLocker要求目標向慈善機構捐款

發布時間 2023-05-19

1、新勒索軟件MalasLocker要求目標向慈善機構捐款


據媒體5月17日報道,新勒索軟件MalasLocker通過入侵Zimbra服務器來竊取郵件并加密文件。但攻擊者并沒有要求目標交贖金,而是要求他們向指定的非營利慈善機構捐款。該活動始于3月底,在加密電子郵件時,它不會在文件名附加額外的擴展名。但他們在每個加密文件的末尾都附加了一個"此文件已加密,請查看README.txt了解解密說明"的信息。目前尚不清楚攻擊者是如何入侵Zimbra服務器。MalasLocker的網站目已公開三家公司的數據和其他169個被攻擊者的Zimbra配置。


https://www.bleepingcomputer.com/news/security/malaslocker-ransomware-targets-zimbra-servers-demands-charity-donation/


2、Apple修復iPhone、Mac和iPad中三個已被利用的漏洞


5月18日,Apple發布安全更新,修復了iPhone、Mac和iPad中三個已被利用的漏洞。這些漏洞均在多平臺WebKit瀏覽器引擎中被發現,分別是可用來突破Web內容沙箱的沙箱逃逸漏洞(CVE-2023-32409)、訪問敏感信息的越界讀取漏洞(CVE-2023-28204)和執行任意代碼的釋放后使用漏洞(CVE-2023-32373)。Apple通過改進邊界檢查、輸入驗證和內存管理解決了這些問題,沒有公開有關這些攻擊的詳細信息。自年初以來,Apple已修復了6個零日漏洞。 


https://securityaffairs.com/146411/security/apple-3-new-zero-day-bugs.html


3、BatLoader在近期攻擊中冒充ChatGPT和Midjourney


eSentire在5月16日稱其發現了BatLoader冒充ChatGPT和Midjourney的攻擊活動。研究人員稱,這兩種AI服務都非常受歡迎,但是沒有官方的獨立應用程序,用戶只能通過網絡界面和Discord與ChatGPT和Midjourney交互。攻擊者利用了這種空缺,將搜索AI應用程序的用戶引到冒牌網頁。在冒充ChatGPT的活動中,BatLoader通過MSIX Windows App Installer文件和Redline Stealer來感染設備。在冒充Midjourney的活動中,會下載由Ashana Global Ltd.簽名的Windows應用程序包。


https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks


4、技術提供商ScanSource遭到勒索攻擊網站暫時無法訪問


據5月17日報道,技術提供商ScanSource透露其遭到勒索攻擊,部分系統、業務運營和客戶門戶受到影響。5月15日開始,ScanSource的客戶稱無法訪問公司的網站。之后,該公司證實他在5月14日遭到了勒索攻擊。此次攻擊的影響是巨大的,因為該公司說,在未來一段時間內,向客戶提供的服務將會出現延遲,預計將影響北美和巴西的業務。此外,其股價在5月17日下跌了1.42%,這可能是攻擊造成的影響。


https://www.bleepingcomputer.com/news/security/scansource-says-ransomware-attack-behind-multi-day-outages/


5、Kaspersky披露惡意礦工Minas攻擊活動的技術細節   

 

Kaspersky于5月17日披露了惡意礦工Minas攻擊活動的技術細節。研究人員從執行PowerShell開始重建了它的感染鏈:PowerShell腳本通過任務計劃程序運行,并從遠程服務器下載lgntoerr.gif文件,解密后生成.NET DLL,并從其資源中提取和解密三個文件,最后會在內存中提取并啟動礦工DLL。研究人員稱,Minas是一個使用標準實現的礦工,旨在隱藏其存在。目前無法完全確定最初的PowerShell命令是如何執行的,但種種跡象表明是通過GPO執行的。


https://securelist.com/minas-miner-on-the-way-to-complexity/109692/


6、Trend Micro發布關于8220 Gang新策略的分析報告


5月16日,Trend Micro發布了關于8220 Gang新策略的分析報告。該團伙最近幾個月一直很活躍,它利用了Oracle WebLogic Server中的漏洞(CVE-2017-3506)來分發PowerShell,然后在內存中創建另一個混淆的PowerShell腳本。這個新的腳本會禁用Windows AMSI檢測并啟動一個Windows二進制文件,它隨后會連接到遠程服務器以檢索payload。此外,攻擊還利用了一種合法Linux工具lwp-download,用于在目標主機上保存任意文件。 


https://www.trendmicro.com/en_us/research/23/e/8220-gang-evolution-new-strategies-adapted.html

上一篇 下一篇