有研究人员提出警告,Fortinet于去年10月修补的重大漏洞CVE-2022-40684,已经成为黑客大肆利用的对象!其中,他们侦测到两起勒索软件攻击,黑客便是针对存在相关漏洞的Fortinet设备下手,入侵目标组织网络环境来加密文件。
以往的披露UEFI固件漏洞都是出现在x86计算机上,但采用其他处理器的计算机也可能出现类似漏洞!有研究人员向高通(Qualcomm)通报数个UEFI漏洞,并指出这应该是首度披露的Arm计算机UEFI漏洞。
在乌克兰战争尚未结束、美国注资乌克兰相关军事资源的情况下,俄罗斯黑客也将一些敏感的研究机构列为攻击目标。有新闻媒体披露,俄罗斯黑客Cold River疑似针对美国的核子实验室的科学家发动钓鱼攻击。
安全企业eSentire提出警告, 他们在2022年11月下旬的两起勒索软件攻击事件,发现黑客锁定未修补重大漏洞CVE-2022-40684的Forinet SSL VPN设备而来,目前已在加拿大的大学与跨国投资公司发现这样的活动。
研究人员表示,黑客一旦成功进入目标组织的网络环境,就会发动寄生攻击(LOLBin),并滥用远程桌面协议(RDP)来横向移动,最终利用BitLocker与BestCrypt来加密文件,并要求受害组织通过电子邮件向他们联系。而这些黑客的身份,研究人员指出,他们先前曾用名为KalajaTomorr的勒索软件发动攻击。
根据路透社的报道,俄罗斯黑客组织Cold River自去年夏天起,持续锁定美国3座核子研究实验室,分别为Brookhaven(BNL)、Argonne(ANL)、Lawrence Livermore National Laboratories(LLNL),黑客为上述机构创建伪造的登录网页,然后向科学家发送钓鱼邮件,意图借此得知他们的帐密资讯。
路透社表示,他们无法确定黑客攻击的目的,也无法确认是否成功入侵。对此,BNL拒绝回应,LLNL没有回复,ANL则表示由美国能源部进行说明,但后者不愿发布看法。
安全企业赛门铁克披露黑客组织Blubottle的攻击行动,主要锁定使用法语的非洲国家银行而来,但阿根廷、巴拉圭、孟加拉也有受害组织。黑客自2022年7月至9月,使用恶意程序加载工具GuLoader及带有签章的驱动程序发动攻击,先是利用ISO镜像文件传播上述文件,一旦入侵成功,黑客便将GuLoader注入Internet Explorer附加组件安装工具(ieinstal.exe)、ASP.NET浏览器注册程序(ieinstal.exe)来执行,进而部署Netwire、Quasar等RAT木马程序。
研究人员指出,这些黑客攻击手法大部分与Group-IB披露的黑客组织Opera1er雷同,但无法确定是否为相同的组织。
1月4日持续开发/持续交付(CI/CD)平台企业CircleCI发布安全通报,表示该公司着手调查安全事件,并强调公司系统无未经授权的攻击者行动迹象,但为了慎重起见,他们要求所有用户采取预防措施,包括立即轮换存储在CircleCI账号的所有密钥,并于完成后检查2022年12月21日至2023年1月4日的系统日志,确认是否出现未经授权的访问。
在要求用户检查系统是否曾有未经授权访问的同时,CircleCI公司也废止项目API权限,用户需要更换这些token,才能继续使用相关服务。
本次安全通报选在美东晚间9时30分发出,已是多数人下班时间。对此,该公司表示他们的用户遍布全球,只能尽快通知所有的客户采取行动。
安全企业Minerva披露名为CatB的勒索软件,研究人员看到该勒索软件于11月23日上传到恶意软件分析平台VirusTotal,社群认为可能是勒索软件Pandora的变种。研究人员对CatB进行分析,发现该勒索软件会先检测处理器核心数量、内存大小、存储空间,来判断是否在沙箱环境执行,一旦确认是在真实的计算机环境,该勒索软件的引导程序就会通过DLL挟持手法,将其酬载投放于System32系统文件夹,并篡改MSDTC系统服务的配置,来维持此勒索软件于受害计算机运行,完成后便开始加密受害计算机的文件。
与许多勒索软件不同的是,CatB不会变动计算机文件的文件扩展名,并将勒索消息写在每个文件内容的最前面,使得受害者直到发现文件无法使用才发现遭到攻击。
根据安全新闻网站HackRead报道,安全研究人员Anurag Sen通过物联网搜索引擎Shodan,发现美国ERP企业所有的Elasticsearch服务器不需帐密就能访问,该服务器约自去年12月下旬开始暴露于网际网络,其中包含印度求职者详细资料,文件大小超过6.3 GB,资料数量超过57.5万笔,内有求职者姓名、出生日期、电子邮件信箱、电话号码、履历、雇主资料。研究人员已向印度计算机紧急应变小组(CERT-in)通报此事。
高通于1月5日发布安全通报,修补约20个漏洞,其中有5个是安全企业Binarly通报。该公司的研究人员向安全新闻网站SecurityWeeks透露,这些漏洞他们最初是在分析搭载高通处理器的联想ThinkPad X13s发现,当时一共找到9个漏洞,但发现其中5个与高通的参考程序代码有关,这意味着可能会影响所有采用高通SoC的笔记本,包括微软Surface,以及三星的设备。
研究人员指出,这5个漏洞是首度在Arm架构计算机发现的UEFI漏洞,其中CVE-2022-40516、CVE-2022-40517、CVE-2022-40520为内存堆栈的缓冲区溢出漏洞,CVSS风险层级皆为8.2分;CVE-2022-40518、CVE-2022-40519则是出现在DXE驱动程序,一旦遭利用可能导致内存泄露,为中等风险层级的漏洞,CVSS评分为4.9分、6.0分。
英国14所大专院校遭勒索软件Vice Society攻击,并公布学生资料
法国航空、荷兰航空通知旅客账号遭窃事故
美国速食企业Chick-fil-A客户账号出现界常活动
程序代码编辑器VS Code的插件程序市场疑遭黑客滥用
《2023年1月6日》 Slack惊传部分源码遭窃、南非黑客Automated Libra大肆滥用持续集成及持续交付服务挖矿
《2023年1月5日》 近20个汽车品牌的API漏洞恐暴露车主个人信息、Linux恶意软件被用于传播挖矿程序
《2023年1月4日》 蠕虫程序Raspberry Robin锁定欧洲金融和保险业而来、黑客利用窃得的银行资料传播木马程序BitRAT