首頁 > 安全研究 > 安全通報 > 安全簡訊

MOVEit Transfe中漏洞CVE-2023-34362被大規模利用

發布時間 2023-06-05

1、MOVEit Transfe中漏洞CVE-2023-34362被大規模利用


據媒體6月1日報道,黑客正在積極利用MOVEit Transfer文件傳輸軟件中的漏洞(CVE-2023-34362)來竊取數據。這是一個SQL注入漏洞,可導致遠程代碼執行。Rapid7研究人員在被利用設備上發現了相同的名為human2.asp的webshell,位于c:\MOVEit Transfer\wwwroot\公共HTML文件夾中。Mandiant表示,他們的數據顯示此次攻擊始于5月27日。目前尚不清楚攻擊者身份,但據悉已經有許多組織遭到入侵,數據被盜。Progress Software已發布針對本地和云的緩解步驟。


https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/


2、西班牙大型銀行Globalcaja遭到來自Play的勒索攻擊


據6月5日報道,西班牙的一家大型銀行Globalcaja透露,它正在處理影響了多個辦事處的勒索攻擊。Globalcaja總部位于西班牙阿爾巴塞特市,管理著超過46億美元的消費貸款。Play聲稱它攻擊了該銀行并竊取了部分信息,包括個人機密數據、客戶和員工文件、護照和合同等。該機構表示,這并沒有影響各實體的交易,電子銀行、自動取款機和各辦事處也都在正常運作。該公司沒有回應關于是否交贖金的詢問。


https://therecord.media/spain-globalcaja-bank-confirms-ransomware-attack


3、美國HPHC遭到勒索攻擊導致超過250萬人的信息泄露


媒體6月1日稱,美國醫療機構Harvard Pilgrim Health Care(HPHC)在4月份遭到勒索攻擊,導致2550922人的信息泄露。調查發現,攻擊者于3月28日至4月17日,從HPHC的系統中竊取了敏感數據,涉及姓名、地址、電話、賬戶信息、社會安全號碼、納稅人識別號和臨床信息等。此次事件影響了該機構從2012年3月28日開始注冊的成員。HPHC將為受影響的個人提供信用監控和身份盜竊保護服務。目前尚無勒索團伙聲稱為此事負責。


https://www.bleepingcomputer.com/news/security/harvard-pilgrim-health-care-ransomware-attack-hits-25-million-people/


4、研究團隊發現Camaro Dragon利用新后門TinyNote的攻擊


Check Point Research于6月1日稱其發現了Camaro Dragon近期攻擊活動的詳情。研究人員在該團伙的一個分發服務器上發現了新的基于Go的后門,名為TinyNote。該后門通過與外交事務相關的名稱進行分發,可能針對東南亞和東亞的大使館。它還可繞過印度尼西亞流行的殺毒軟件SmadAV。TinyNote是第一階段的惡意軟件,只能通過PowerShell或Goroutines進行基本的機器枚舉和命令執行。


https://research.checkpoint.com/2023/malware-spotlight-camaro-dragons-tinynote-backdoor/


5、Kaspersky披露利用零點擊漏洞攻擊iOS的Triangulation活動


6月1日,Kaspersky披露了利用零點擊漏洞攻擊iOS設備的Triangulation活動。該活動至少從2019年開始,目前仍在進行中。攻擊鏈始于通過iMessage服務向iOS設備發送的消息,附件中包含漏洞利用。該消息在沒有任何用戶交互的情況下觸發了遠程代碼執行漏洞。利用漏洞從C2服務器下載多個后續階段,包括用于提權的其它漏洞以及最終payload。惡意代碼以root權限運行,它支持一組用于收集系統和用戶信息的命令,并且可以運行從C2作為插件模塊下載的任意代碼。此次攻擊成功地感染了運行iOS 15.7的設備。


https://securelist.com/operation-triangulation/109842/


6、Trend Micro發布新勒索軟件BlackSuit的分析報告


5月31日,Trend Micro發布了關于新Linux勒索軟件BlackSuit的分析報告。研究人員檢查了針對Linux的x64 VMware ESXi版本,發現Royal和BlackSuit之間有極高的相似度?;贐inDiff的比較發現,函數的相似度為93.2%,基本塊的相似度為99.3%,而跳轉的相似度為98.4%。此外,二者都使用OpenSSL的AES進行加密,并利用類似的間歇加密技術來加速加密過程。研究人員表示,BlackSuit要么是同一開發者開發的新變體,要么是使用了類似代碼的山寨版,或者是Royal的附屬機構對原始代碼進行了修改。


https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

上一篇 下一篇