2月8日,星期三,您好!中科汇能与您分享信息安全快讯:
01
ESXi服务器遭遇大规模ESXiArgs勒索攻击
日前,有安全团队发现了利用VMware ESXi服务器中未修复的远程代码执行漏洞安装新型勒索软件ESXiArgs的活动。
漏洞追踪为CVE-2021-21974,由OpenSLP服务中的堆溢出引起,可被用来执行低复杂度攻击。OVHcloud透露,该活动通过OpenSLP端口(427)针对7.0 U3i之前版本的ESXi服务器。根据Shodan搜索的数据,全球至少有120台VMware ESXi服务器已遭到攻击。目前针对该活动的调查仍在进行中。
02
GuLoader 恶意软件升级后,瞄准了电子商务行业
网络安全公司 Trellix 披露,GuLoader 恶意软件“盯上了”韩国和美国的电子商务行业。
据悉,GuLoader 恶意软件 进行了升级迭代, 从带有恶意软件的 Microsoft Word 文档过渡到了 NSIS 可执行文件( NSIS :Nullsoft Scriptable Install System 的缩写,一个脚本驱动的开源系统,主要用于开发 Windows 操作系统的安装程序)。值得一提的是,此次 GuLoader 勒索软件攻击目标还包括德国、沙特阿拉伯、中国台湾和日本等区域。
03
APT-C-35(肚脑虫)组织近期攻击活动披露
APT-C-35(肚脑虫),也称Donot,是一个来自于南亚的境外APT组织,其主要针对巴基斯坦及周边国家地区的政府机构进行网络间谍活动,以窃取敏感信息为主。
近期,360高级威胁研究院在日常威胁狩猎中多次发现APT-C-35(肚脑虫)组织的攻击活动。在本轮攻击行动中,该组织依然采用宏文档作为恶意载体,从自身释放恶意载荷并执行,通过层层下载的方式加载远控模块,从而实现窃密行动,并且整个过程的恶意代码均带有数字签名信息。
04
加密通信应用Exclu被查,多人被逮捕
荷兰和德国的执法部门对犯罪网络使用加密通信进行了又一次打击,在近期的联合执法行动中成功捣毁了 Exclu 应用程序,该应用程序估计有 3000 名用户,其中包括组织犯罪集团成员。
据称,其中两名嫌犯为Exclu的管理人员,其余 40余 人为Exclu所服务的用户,并查获了两个毒品实验室、550 万欧元现金、30 万颗摇头丸和 20 支枪支,还缴获了 200 部手机以进行调查。仅在荷兰,警方就搜查了 22 个地点,逮捕了 11 名与 Exclu 平台有关的嫌犯。
05
将密钥泄露给支付机构,这家POS厂商被银联暂停资质
近日,中国银联发布公告,暂停广东扬航电子科技有限公司(简称“扬航电子”)终端生产企业资质。
原因是扬航电子生产500台YH600型号终端(其中36台涉嫌风险交易),生成对应终端序列号及密钥并上送至银联终端信息出厂注册管理平台。同年,扬航电子向支付机构销售该批次终端,并私自将终端序列号密钥文件泄露给对方。
此前,《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号)要求,银行卡清算机构(银联)要结合受理终端的检测认证结果强化入网管理,严禁未通过检测认证的受理终端入网。
06
Linux安全工具binwalk曝路径遍历漏洞,可导致命令执行
安全分析工具 Binwalk 本身会给运行过期版本的用户带来安全风险,因为存在可能导致远程代码执行 (RCE) 的路径遍历漏洞。
根据ONEKEY研究实验室的Quentin Kaiser发布的安全公告,路径遍历问题要求用户打开“使用提取模式(-e选项)使用binwalk的恶意文件”,因此需要用户交互。
该漏洞被跟踪为 CVE-2022-4510,并归类为高严重性 (CVSS 7.8)。
这项研究提醒人们,安全工具本身可能包含安全漏洞。
07
LockBit 勒索软件正式声称对皇家邮政发起了网络攻击
LockBit勒索软件行动声称,英国领先的邮件递送服务皇家邮政遭到网络攻击,迫使该公司因“严重的服务中断”而停止其国际运输服务。
勒索软件团伙的代表还补充说,他们只会提供解密器,并在支付赎金后删除从皇家邮政网络中窃取的数据。
但是,皇家邮政尚未承认它正在处理可能导致数据泄露的勒索软件攻击,因为 LockBit 勒索软件运营商以窃取数据并在未满足赎金要求的情况下在线泄露数据而闻名。
目前,该公司仍将这次攻击描述为“网络事件”,并表示已恢复受攻击影响的一些服务。
08
Microsoft Outlook 中断导致用户无法发送和接收电子邮件
微软正在调查并致力于解决影响该公司Outlook网络邮件服务的持续中断。
用户在通过 Outlook.com 发送、接收或搜索电子邮件时报告问题。
有些人还报告无法连接到 Outlook.com,尝试登录时看到 500 错误,或者整个帐户被擦除并且在连接后看不到任何电子邮件。
微软还在其服务健康网站的更新中表示,当前的Outlook中断也会影响其他功能,例如Microsoft Teams通信平台等其他服务使用的日历。
负责人在一份事后报告中透露,这是由路由器IP地址更改引起的,该更改导致其广域网(WAN)中所有路由器之间的数据包转发问题。
09
美国在线杂货配送平台泄露 1100 万条用户记录
总部位于美国的在线杂货配送平台Weee!在网上泄露了11万客户的送货数据。一些日志包括快递员用来进入建筑物的门密码。
发布数据库的威胁行为者声称该数据库于 2023 年被盗。发布数据库的攻击者似乎是从移动运营商US Cellular泄露被盗数据的同一个人。
威胁行为者声称泄露的数据库包括敏感数据,例如用户的名字、姓氏、电子邮件、电话号码、家庭住址、交付类型、设备和日期。
从本质上讲,该数据库提供了交付杂货所需的所有信息。例如,某些日志包括 Weee!客户离开快递,例如进入住宅或办公楼的代码。
10
Anonymous泄露了从俄罗斯 ISP Convex 窃取的 128GB 数据
集体匿名者发布了128千兆字节的文件,据称这些文件是从俄罗斯互联网服务提供商Convex窃取的。庞大的数据宝库是由匿名会员集团Caxxii的附属公司租用的。
被盗文件包含情报部门FSB进行的拉网式监视活动的证据。
俄罗斯政府非法监视俄罗斯各地的公民和私人组织。
据收集,Convex公司启动了一个代号为“绿色原子”的项目,旨在通过使用监视设备监视俄罗斯公民。对俄罗斯公民的无证监视违反了该国的法律和他们的权利。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEE Symantec 白帽汇安全研究院 安全帮 卡巴斯基
本文版权归原作者所有,如有侵权请联系我们及时删除