首頁 > 安全研究 > 安全通報 > 安全簡訊

Unit 42發現Mirai的變體IZ1H9利用多個漏洞進行分發

發布時間 2023-05-30

1、Unit 42發現Mirai的變體IZ1H9利用多個漏洞進行分發


Unit 42在5月25日披露了一個名為IZ1H9的Mirai變體利用多個漏洞進行傳播的活動。研究人員在4月10日發現該活動,攻擊者使用了Tenda G103命令注入漏洞(CVE-2023-27076)、LB-Link命令注入漏洞(CVE-2023-26801)、DCN DCBI-Netlog-LAB遠程代碼執行漏洞(CVE-2023-26802)以及Zyxel遠程代碼執行漏洞,來攻擊目標服務器和網絡設備。被感染設備可被攻擊者控制成為僵尸網絡的一部分,并被用于進一步攻擊,例如DDoS攻擊。


https://unit42.paloaltonetworks.com/mirai-variant-iz1h9/


2、醫療機構AENT透露其遭到攻擊影響約22萬患者和員工


據5月26日報道,Albany ENT & Allergy Services通知了224486名員工和患者關于信息泄露事件。通知中寫道,AENT在3月27日前后發現可疑活動,調查確定攻擊者在3月23日至4月4日可能訪問了部分存儲個人和健康信息的系統。不久前,兩個勒索團伙曾聲稱攻擊了AENT。4月23日,BianLian在其網站列出了該公司,并稱已經下載了630 GB的文件。4月28日,RansomHouse也列出了該公司,聲稱在3月27日加密了AENT的系統,并下載了2 TB數據。然而,AENT在該通知中沒有提及任何關于勒索攻擊的信息。


https://www.databreaches.net/two-ransomware-groups-claimed-to-have-attacked-albany-ent-allergy-services-and-leaked-data-but-aent-doesnt-mention-that-at-all-in-their-notification/


3、Symantec稱新Buhti利用泄露的LockBit和Babuk代碼


 5月25日,Symantec稱名為Buhti的勒索攻擊活動,利用了泄露的LockBit和Babuk的代碼針對Windows和Linux系統。Buhti于2月首次被發現,最初僅攻擊Linux計算機,Symantec此次發現了其攻擊Windows計算機的企圖。該勒索活動沒有自己的勒索軟件payload,但它使用了自定義信息竊取程序來針對指定的文件類型。此外,該團伙似乎很快就利用了最新披露的漏洞,他們在最近的一次攻擊利用了最新修復的PaperCut NG和MF中的漏洞(CVE-2023-27350)。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/buhti-ransomware


4、RaidForums的用戶數據庫已在某個黑客論壇上被公開


 據媒體5月29日報道,RaidForums的用戶數據庫已在某個黑客論壇上被公開,這可能會讓某些人感到有點緊張。該數據庫的日期顯示為2020年9月。它包含網站所有者、Omnipotent、版主和知名用戶的條目。研究人員抽查數據庫,發現了部分個人的用戶名、電子郵件地址和jabber ID。發布該數據庫的管理員指出,有一些被刪除的用戶。目前還沒有跡象表明這個數據庫是如何泄露的、是誰首先泄露的或者為什么現在被公開。


https://www.databreaches.net/developing-raidforums-users-db-leaked/


5、研究人員發現使用加密RPMSG消息的Microsoft 365釣魚活動


Trustwave在5月24日稱其發現了通過被感染的Microsoft 365帳戶發送加密RPMSG附件的釣魚活動。RPMSG文件用于發送啟用了權限管理電子郵件對象協議的電子郵件,收件人只有在使用其Microsoft帳戶進行身份驗證或獲得一次性密碼后才能閱讀加密郵件。在本案例中釣魚郵件來自支付處理公司Talus Pay,收件人公司計費部門的用戶,活動旨在竊取目標Microsoft憑據。研究人員稱,此類攻擊的數量少且具有針對性,因此對其的檢測和應對極具挑戰性。 


https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-encrypted-restricted-permission-messages-deliver-phishing/


6、ESET發布加密程序AceCryptor及其活動的分析報告


5月25日,ESET發布了關于加密程序AceCryptor及其活動的分析報告。這個加密程序自2016年首次出現,被許多惡意軟件開發者使用,如Emotet。在2021年至2022年,ESET檢測到超過80000個獨特的AceCryptor樣本。目前AceCryptor使用多級的三層架構,已知的第一層有兩個版本,一個版本使用TEA解密第二層,另一個版本使用微軟Visual/Quick/C++的線性同位素發生器(LCG)解密第二層。第二層是執行shell code,然后解密并啟動第三層。第三層是更多的shellcode,其任務是啟動payload。


https://www.welivesecurity.com/2023/05/25/shedding-light-acecryptor-operation/

上一篇 下一篇