1、美國海軍承包商FMG遭到勒索攻擊導致運營暫時中斷
據媒體4月21日報道,美國海軍承包商Fincantieri Marine Group(FMG)遭到勒索攻擊,影響了其電子郵件伺服器和部分系統。攻擊發生在4月12日清晨,該造船廠透露,攻擊針對的伺服器主要用於保存向其計算機數控制造設備提供指令的資料,導致它們宕機數天。目前沒有員工的個人資訊受到影響。美國海軍在一份聲明中表示,FMG已採取措施進行響應,海軍正在積極監督這些工作。
https://www.infosecurity-magazine.com/news/us-navy-contractor-cyberattack/
2、史丹佛等多所大學的網站被黑並分發Fortnite垃圾郵件
據4月21日報道,美國多所大學的網站被黑並分發堡壘之夜(Fortnite)和禮品卡垃圾郵件。涉及史丹佛大學、麻省理工學院、柏克萊大學和加州理工學院等大學,這些網站似乎在運行TWiki或MediaWiki。這些wiki頁面據稱是由垃圾郵件發送者上傳的,聲稱提供免費禮品卡、Fortnite Bucks和作弊器等。它們會載入偽裝成Fortnite頁面的釣魚網頁,或承諾提供禮品卡的虛假的調查。此外,該活動還針對巴西某州政府的一個小型網站,以及歐盟的Europa.eu。
https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/
3、Infoblox通過異常DNS流量檢測發現新的Decoy Dog
Infoblox於4月20日稱,他們在檢測異常DNS流量後,發現了一種新的惡意軟體工具包Decoy Dog。該工具旨在幫助攻擊者通過戰略性的域名老化和DNS查詢運載來繞過檢測,其DNS指紋在網際網路上3.7億個活躍域中極為罕見。對該工具基礎設施的調查發現了幾個與同一行動有關的C2域,它們的大部分通訊來自俄羅斯的主機。這些域名的DNS隧道具有指向Pupy RAT的特徵,這是一個由Decoy Dog工具包部署的遠端訪問木馬。
https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/
4、Aqua披露利用Kubernetes RBAC的大規模挖礦活動
Aqua在4月21日稱其發現了一個大規模的挖礦活動,利用了Kubernetes(K8s)基於角色的訪問控制(RBAC)創建後門並運行礦工。通過利用RBAC實施惡意訪問控制策略,即使提供初始訪問的錯誤配置在未來得到修復,攻擊者也可以在被感染的集群上持續存在。攻擊鏈利用配置錯誤的API伺服器進行初始訪問,然後發送HTTP請求以列出機密,併發出API請求以通過列出名稱空間kube-system中的實體來收集有關集群的資訊。此外,攻擊者還安裝DaemonSets來接管和劫持被攻擊的K8s集群的資源。
https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters
5、研究團隊發現利用Google Ads分發BumbleBee的活動
4月20日,SecureWorks披露了利用Google Ads和SEO中毒分發BumbleBee的活動。研究人員發現一個Google Ad宣傳了虛假的Cisco AnyConnect安全移動客戶端下載頁面,它創建於2月16日,託管在appcisco[.]com域上。該頁面推廣木馬化MSI安裝程序cisco-anyconnect-4_9_0195.msi,它會安裝惡意軟體BumbleBee。此外,研究人員還發現了其它具有類似對應檔案名稱的軟體包,例如ZoomInstaller.exe和zoom.ps1,ChatGPT.msi和chch.ps1,以及CitrixWorkspaceApp.exe和citrix.ps1。
https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads
6、Huntress發佈PaperCut漏洞利用活動的分析報告
4月21日,Huntress發佈報告,稱其發現了利用PaperCut MF/NG漏洞的活動。這兩個漏洞(CVE-2023-27350和CVE-2023-27351)可被遠端攻擊者用於以SYSTEM許可權在被感染的PaperCut伺服器上執行任意程式碼。研究人員發現從PaperCut軟體中生成的PowerShell命令,用於安裝Atera和Syncro等RMM軟體,以便在目標主機持續訪問和執行程式碼。基礎設施分析發現,託管這些工具的域名於4月12日註冊,也託管TrueBot等惡意軟體,後者與俄羅斯Silence團伙有關。
https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software
安全動態
針對Linux使用者的新Operation DreamJob活動
https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
ICONICSTEALER惡意軟體分析報告
https://www.cisa.gov/news-events/alerts/2023/04/20/cisa-releases-malware-analysis-report-iconicstealer
Xiaoqiying針對韓國的攻擊
https://www.recordedfuture.com/xiaoqiying-genesis-day-threat-actor-group-targets-south-korea-taiwan
BabLock(又名 Rorschach)勒索軟體分析
https://www.trendmicro.com/en_us/research/23/d/an-analysis-of-the-bablock-ransomware.html
Drupal修復Drupal Core中的漏洞
https://www.cisa.gov/news-events/alerts/2023/04/21/drupal-releases-security-advisory-address-vulnerability-drupal-core
PaperCut漏洞PoC
https://www.bleepingcomputer.com/news/security/exploit-released-for-papercut-flaw-abused-to-hijack-servers-patch-now/
英國政府員工平均每年收到2246封惡意郵件
https://www.itsecurityguru.org/2023/04/20/uk-government-employees-receive-average-of-2246-malicious-emails-per-year/
Fiber – 以不同的隱蔽方式運行記憶體程式碼
https://github.com/Kudaes/Fiber
GVision – 反向圖像搜尋應用程序
https://github.com/GONZOsint/gvision
