首頁 > 安全研究 > 安全通報 > 安全簡訊

微軟稱Volt Typhoon自2021年一直針對美國基礎設施

發布時間 2023-05-26

1、微軟稱Volt Typhoon自2021年一直針對美國基礎設施


5月24日,微軟稱至少從 2021 年年中開始,Volt Typhoon就一直針對美國關島和其它各地的關鍵基礎設施。被入侵組織涉及政府、海事、通信、制造、信息技術、公用事業、交通、建筑和教育行業。攻擊者首先利用未知的零日漏洞入侵Fortinet FortiGuard設備,來實現對目標的初始訪問。然后利用PowerShell、Certutil、Netsh和WMIC等LOLBins執行living-off-the-land攻擊。五眼聯盟稱,該團伙還利用了開源工具,如frp、Mimikatz和Impacket等。


https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/


2、SuperVPN因數據庫配置錯誤泄露3.6億條用戶記錄


據5月24日報道,免費VPN服務SuperVPN因數據庫配置錯誤,泄露了360308817條用戶記錄,總計133 GB數據。這些記錄除了包括用戶郵件地址、原始IP地址、地理位置數據和服務器使用記錄等敏感信息,還包括密鑰、唯一應用程序用戶ID號和UUID號等。雖然SuperVPN聲稱它不存儲用戶日志,但泄露的數據表明真實情況并非如此,這與該公司的政策相矛盾。此外,在數據庫中還發現Storm VPN、Luna VPN、Radar VPN、Rocket VPN和Ghost VPN等VPN提供商名稱,可以推斷它們在某種程度上是相關的。


https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/


3、Akamai發現僵尸網絡Dark Frost DDoS攻擊游戲行業的企業


Akamai在5月25日稱其發現了新型僵尸網絡Dark Frost DDoS攻擊游戲行業的企業。該團伙至少從2022年5月開始活躍,針對游戲公司、游戲服務器托管供應商、在線流媒體和其他游戲社區成員。通過分析研究人員確定它的攻擊潛力約在629.28 Gbps。該僵尸網絡以Gafgyt、QBot、Mirai和其它惡意軟件為藍本,截至2月份,它包括414臺運行各種指令集架構的設備,如ARMv4、x86、MIPSEL、MIPS和ARM7。該案例的特殊之處在于,攻擊者發布了他們攻擊的實時記錄,供所有人查看。


https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile


4、Check Point公開Agrius團伙針對以色列的攻擊活動


5月24日,Check Point公開了伊朗黑客團伙Agrius針對以色列組織的攻擊活動。攻擊者首先通過利用服務器中的漏洞獲得目標的初始訪問權限。然后利用以色列的ProtonVPN節點分發隱藏在“Certificate”文本文件中的ASPXSpy webshell變體。之后,Agrius從ufile.io和easyupload.io等合法文件托管平臺獲取勒索軟件Moneybird的可執行文件。在目前發現的案例中,該勒索軟件僅針對F:\User Shares。這表明Moneybird的目標偏向于導致業務中斷,而不是鎖定計算機。


https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/


5、Barracuda稱其ESG中漏洞CVE-2023-2868已被利用


據媒體5月24日報道,Barracuda稱發現其ESG設備中遠程命令注入漏洞(CVE-2023-2868)已被利用。該漏洞位于電子郵件附件篩選模塊中,源于用戶提供的.tar文件的輸入驗證不完整。漏洞于5月19日被發現,并于5月20日和21日發布的兩個安全補丁中被修復。Barracuda透露,其部分客戶的ESG設備遭到攻擊,攻擊者利用該漏洞對電子郵件網關設備子集的進行未授權的訪問。Barracuda表示,調查僅限于其ESG產品,建議受到影響的組織再檢查一下他們的網絡,以確定其它系統是否被入侵。


https://securityaffairs.com/146620/hacking/barracuda-email-security-gateway-bug.html


6、WP Cookie Consent插件中的XSS漏洞已被大規模利用


5月24日報道稱,研究人員發現了大規模利用WordPress Cookie Consent插件Beautiful Cookie Consent Banner中XSS漏洞的活動。未經身份驗證的攻擊者可在運行該插件的WordPress網站上創建惡意管理員帳戶,漏洞已于1月份被修復。根據記錄,該漏洞自2月5日以來一直被積極利用。自5月23日以來,研究人員已經檢測到來自近14000個IP地址的近300萬次針對超過150萬個網站的攻擊,并且,目前攻擊仍在繼續。


https://www.bleepingcomputer.com/news/security/hackers-target-15m-wordpress-sites-with-cookie-consent-plugin-exploit/

上一篇 下一篇