平安资讯报告
AvosLocker勒索软件用简略但十分聪慧的技巧来回避PC进攻
平安公司Sophos正告称,今年夏天呈现的一个人工操作的勒索软件团伙AvosLocker正在寻找合作伙伴,心愿填补REvil退出留下的空白。AvosLocker的次要性能之一是应用AnyDesk近程IT管理工具并在Windows平安模式下运行它。
AnyDesk是一种非法的远程管理工具,它已成为犯罪分子之间风行的TeamViewer替代品,TeamViewer提供了雷同的性能。在连贯到网络时以平安模式运行AnyDesk容许攻击者放弃对受感化机器的管制。
尽管AvosLocker只是从新包装其余团伙的技术,但Sophos事件响应主管Peter Mackenzie将其应用形容为“简略但十分聪慧”。AvosLocker攻击者在攻打的最初阶段将计算机重新启动到平安模式,但还会批改平安模式启动配置以容许装置和运行AnyDesk。
攻击者应用IT管理工具PDQ Deploy将多个Windows批处理脚本推送到预约的指标机器,包含Love.bat、update.bat和lock.bat。这些脚本会禁用能够在平安模式下运行的平安产品,禁用Windows Defender,并容许攻击者的AnyDesk工具在平安模式下运行。他们还设置了一个带有主动登录详细信息的新帐户,而后连贯到指标的域控制器以近程拜访和运行勒索软件可执行文件update.exe。
新闻来源:
https://www.zdnet.com/article…
网络钓鱼事件导致西弗吉尼亚医院的数据泄露
西弗吉尼亚州的一家医院零碎因网络钓鱼攻打而蒙受数据泄露,黑客能够拜访多个电子邮件帐户。
黑客在5月10日至8月15日期间拜访了多个电子邮件帐户。这些帐户蕴含来自患者、提供者、员工和承包商的敏感信息。该公司于10月29日完结了对该事件的考察,发现该攻打是由电子邮件网络钓鱼事件引起的。
2021年7月28日,一家供应商报告称未收到Mon Health的付款,MonHealth首次意识到了这一事件。作为回应,Mon Health立刻开展了考察,并确定未经受权的集体取得了Mon Health承包商的电子邮件帐户并从该帐户发送电子邮件,试图通过欺诈性电汇从Mon Health获取资金。
新闻来源:
https://www.zdnet.com/article…
香港NFT我的项目Monkey Kingdom因网络钓鱼攻打损失130万美元
Monkey Kingdom通过Twitter发表,黑客通过Discord的安全漏洞窃取了社区的130万美元加密资金。
据其开发人员称,这次黑客攻击首先产生在对Grape的毁坏,这是一种在Solana上验证用户的风行解决方案。黑客随后利用该破绽接管了一个治理帐户,该帐户在Monkey Kingdom Discord的布告频道中公布了网络钓鱼链接。追随链接的用户连贯了他们的钱包,冀望他们会收到NFT,但后果却被骗子耗尽了他们的SOL代币。
新闻来源:
https://cointelegraph.com/new…
安全漏洞威逼
新恶意软件可绕过要害Office漏洞补丁
Sophos公布了一个新破绽的详细信息,该破绽绕过了影响Microsoft Office文件的要害破绽(CVE-2021-40444)的补丁。
SophosLabs Uncut的一篇新文章“攻击者在测试无CAB的40444破绽”报告了这一发现,该文章展现了攻击者如何利用公开可用的概念验证Office破绽并将其武器化以提供Formbook恶意软件。
2021年9月,微软公布了一个补丁,以避免攻击者执行嵌入在Word文档中的恶意代码,该文档下载.cab存档,而该存档又蕴含一个歹意可执行文件。攻击者通过将歹意Word文档搁置在特制的RAR存档中来从新利用原始破绽,胜利躲避了原始补丁。
“攻打的预补丁版本波及打包到Microsoft cab文件中的恶意代码。当微软的补丁敞开该破绽时,攻击者发现了一个概念验证,展现了如何将恶意软件捆绑到RAR文件中”他解释说。
“之前曾应用RAR压缩包来散发恶意代码,但这里应用的过程异样简单。之所以胜利,可能只是因为补丁的范畴十分狭隘,而且用户关上RAR所需的WinRAR程序具备很强的容错性和仿佛并不介意存档是否格局谬误,例如,因为它被篡改了。”
钻研人员发现,攻击者创立了一个异样的RAR存档,其中蕴含一个PowerShell脚本,其中蕴含存储在存档中的歹意Word文档。攻击者创立并散发垃圾邮件,其中蕴含格局谬误的RAR文件作为附件。电子邮件邀请收件人解压缩RAR文件以拜访Word文档。关上Word文档触发了一个运行前端脚本的过程,最终导致感化Formbook恶意软件。
因而,对员工进行教育并揭示他们对电子邮件文件放弃狐疑至关重要,尤其是当他们收到来自他们不意识的人或公司的不寻常或不相熟的压缩文件格式时。
CVE-2021-40444破绽是一个重大的近程代码执行(RCE)破绽,攻击者能够利用该破绽在所有者不知情的状况下在指标机器上执行任何代码或命令,微软在9月公布了补丁。
新闻来源:
https://itbrief.co.nz/story/c…
Conti勒索软件正在利用Log4Shell破绽
Log4Shell是一个危险的平安问题——当初驰名的勒索软件组织Conti正在利用它来攻打易受攻击的服务器以勒索数百万美元。
该Log4Shell破绽(CVE-2021-44228)影响log4j的Java库,它应用了大量的软件。寰球数以百万计的零碎应用该库的易受攻击版本并处于危险之中。
在该破绽公开一周后,它开始被最多产的有组织的俄语勒索软件组织之一Conti应用。Conti应用“双重勒索”计划:如果公司不领取赎金,不仅他们的数据失落,而且还会在互联网上公开曝光或发售给竞争对手,因为该团体负责将其上的所有加密数据泄露进来。
Conti组织热衷于寻找感化公司和流传勒索软件的新办法,他们常常利用破绽利用作为最后的入侵媒介。
该组织利用Log4Shell破绽专门针对VMware vCenter服务器。该破绽用于拜访服务器,而后可能在指标公司的网络中横向挪动。与他们可能应用的其余破绽利用相比,这是一个显着的区别:这个破绽专门用于在受感化网络内横向挪动;攻击者曾经胜利取得了对公司网络的初始拜访权限。
这是迄今为止最大和最有利可图的Log4Shell破绽应用,因为应用它的结果可能是更多公司的业务受到烦扰。他们中的一些人可能会抉择领取赎金以恢复正常,而不是将他们的数据裸露在互联网上。
新闻来源:
https://www.techrepublic.com/…
发表回复