首頁 > 安全研究 > 安全通報 > 安全簡訊

Microsoft 365再次發生服務中斷主要影響歐美地區

發布時間 2023-05-24

1、Microsoft 365再次發生服務中斷主要影響歐美地區


據媒體5月22日報道,Microsoft正在調查用戶無法訪問其Microsoft 365帳戶和已安裝應用程序的問題。受影響的客戶稱在訪問Outlook郵箱時遇到問題,并且無法連接到Microsoft 365服務器。該公司在通告中表示,主影響了北美、波蘭和英國的用戶,但其它地區的用戶也可能受到影響。目前,問題已經得到了解決。上個月,另一起Microsoft 365服務中斷事件導致北美用戶無法訪問Exchange Online。


https://www.bleepingcomputer.com/news/microsoft/microsoft-365-hit-by-new-outage-causing-connectivity-issues/


2、德國軍火公司Rheinmetall遭到Black Basta的攻擊


據5月23日報道,德國汽車和武器制造商Rheinmetall AG稱,它遭到了BlackBasta的勒索攻擊,民用業務受到影響。5月20日,BlackBasta在其網站發布了從Rheinmetall竊取的數據樣本,其中包括保密協議、技術示意圖、護照掃描件和采購訂單等。該公司透露,他們在4月14日發現攻擊活動,由于集團內部的IT基礎設施是嚴格分離的,因此其軍事業務未受到此次攻擊的影響。


https://therecord.media/rheinmetall-confirms-black-basta-ransomware-group-behind-cyberattack


3、健康保險公司Point32Health遭到勒索攻擊患者信息泄露


媒體5月23日稱,健康保險公司Point32Health正在通知患者他們的信息可能已泄露。Point32Health是Tufts Health Plan和Harvard Pilgrim Health Care母公司,攻擊者在3月28日至4月17日期間,從Harvard Pilgrim的系統中復制并竊取了數據。目前調查仍在進行中,尚不確定有多少人受到影響,但可能會影響從2012年3月28日至今注冊的用戶。保險公司的發言人沒有透露是否交了贖金。


https://www.databreaches.net/after-ransomware-attack-states-second-largest-health-insurer-says-patient-data-were-stolen/


4、Trend Micro披露BlackCat近期攻擊中繞過檢測的方法


5月22日,Trend Micro披露了BlackCat在近期的攻擊中使用簽名的Windows內核驅動程序來繞過檢測的方法。該驅動程序是去年年底披露的惡意軟件POORTRY的改進版本。攻擊者首先試圖使用Microsoft 簽名的POORTRY驅動程序,但其簽名被撤銷后檢測率很高。因此,攻擊者使用了一個POORTRY內核驅動的改進版本,并使用被盜或泄露的交叉簽名證書進行簽名。此外,該驅動程序使用Safengine Protector v2.4.0.0工具進行混淆以繞過靜態分析。


https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html


5、Fortinet發現針對中東的新內核驅動程序WINTAPIX


Fortinet在5月22日稱其發現了針對中東國家的新內核驅動程序WINTAPIX(WinTapix.sys)。遙測數據表明,該活動主要針對沙特阿拉伯、約旦、卡塔爾和阿拉伯聯合酋長國。WinTapix.sys本質上是一個加載程序,主要目的是生成和執行下一階段的攻擊。一旦被加載到內核中,WinTapix.sys就會將嵌入式shellcode注入到適當的用戶模式進程中,而該進程又會執行加密的.NET payload。.NET惡意軟件具有后門和代理功能,可以執行命令,下和上傳文件,以及充當代理在兩個通信端點之間傳遞數據。


https://www.fortinet.com/blog/threat-research/wintapix-kernal-driver-middle-east-countries


6、研究團隊稱GUI-vil團伙利用AWS EC2實例來挖礦


5月22日,Permiso P0 Labs稱印度尼西亞黑客團伙GUI-vil利用AWS EC2實例來挖礦。該組織于2021年11月首次被檢測到,最近一次的活動發生在今年4月份。該團伙偏好使用圖形用戶界面(GUI) 工具,特別是較舊版本的S3瀏覽器。GUI-vil首先搜索暴露的AWS密鑰和掃描存在漏洞(如CVE-2021-22205)的GitLab實例,來獲得初始訪問權限。成功入侵后是權限提升和內部偵察,其主要任務是創建EC2實例,以進行加密貨幣挖礦活動。


https://permiso.io/blog/s/unmasking-guivil-new-cloud-threat-actor/

上一篇 下一篇