1、印度最大的電力公司Tata Power的IT基礎設施遭到攻擊
據媒體10月15日報道,印度最大的綜合電力公司Tata Power的IT基礎設施遭到網路攻擊。目前,該公司尚未提供有關攻擊活動的詳細資訊,但其透露已經採取行動以應對該事件並恢復受影響的系統。據稱,攻擊活動針對的是至少7個印度國家電力排程中心(sldc),它們負責在各自的州內實施實時電網控制和電力排程操作。研究人員將此次活動歸因於駭客團伙TAG-38。
https://thehackernews.com/2022/10/indian-energy-company-tata-powers-it.html
2、微軟發現主要針對烏克蘭和波蘭的新勒索軟體Prestige
10月14日,微軟MSTIC透露新的勒索軟體Prestige正被用於針對烏克蘭和波蘭的運輸和物流組織的攻擊活動。該惡意軟體於10月11日首次在野外使用,與FoxBlade(也稱為HermeticWiper)的被攻擊目標有重疊。微軟補充道,此活動與它在跟蹤的94個當前活躍的勒索活動沒有任何關聯,在此之前並未見過Prestige勒索軟體。MSTIC還強調了用於分發Prestige的三種方法,並公開了一系列的IOC和高級搜尋查詢,以幫助使用者抵禦此類攻擊。
https://www.microsoft.com/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/
3、研究團隊透露駭客已利用Zimbra漏洞攻擊近900臺伺服器
據10月15日報道,駭客已利用ZCS中的漏洞(CVE-2022-41352)入侵了近900臺伺服器。Kaspersky稱,第一輪攻擊始於9月,主要針對印度和土耳其的一些易被攻擊的Zimbra伺服器。最初的這次攻擊可能是用於測試攻擊的有效性,僅入侵了44臺伺服器。漏洞一經公開,攻擊者就開始執行大規模攻擊。第二輪活動中駭客用惡意webshell感染了832臺伺服器,但這些攻擊比之前的攻擊更加隨機。研究人員建議使用者立即應用Zimbra安全更新或變通辦法。
https://www.bleepingcomputer.com/news/security/almost-900-servers-hacked-using-zimbra-zero-day-flaw/
4、澳大利亞保險公司Medibank被攻擊後股票暫停交易
據路透社10月13日報道,澳大利亞健康保險公司Medibank Private(MPL.AX)遭到網路攻擊。該公司在上週四表示,他們檢測到其網路上有異常活動,將隔離並刪除對一些面向客戶的系統的訪問。因此,其AHM(澳大利亞健康管理)和國際學生政策管理系統已下線,但是其醫療服務將繼續向其客戶提供服務。據悉,在網路事件公佈之前,Medibank的股票已經暫停交易,並在調查該事件時將繼續關閉交易。
https://www.reuters.com/technology/australias-medibank-reports-cyber-incident-2022-10-13/
5、Zscaler披露Ducktail Infostealer新的PHP變體的詳情
Zscaler在10月13日披露了針對Facebook企業帳戶的Ducktail Infostealer新PHP變體。Ducktail自2021年以來一直存在,並歸因於越南的一個攻擊團伙。Zscaler在2022年8月發現了一個新的活動,通過偽裝成各種免費或破解的應用安裝程序,如遊戲、Microsoft Office應用程序和Telegram等,積極分發Ducktail的新變體。與舊版本(.NetCore)一樣,該變體也旨在洩露保存的瀏覽器憑據和Facebook帳戶資訊等資訊。
https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts
6、Cisco發佈關於新的攻擊框架Alchimist的分析報告
10月13日,Cisco Talos發佈了關於新的單檔案C2框架Alchimist的分析報告。該框架似乎被用於針對Windows、Linux和macOS系統的攻擊,它與攻擊框架Manjusaka非常相似。Alchimist用GoLang編寫,並輔以一個名為Insekt的beacon植入程序,它具有可由C2伺服器檢測的遠端訪問功能。Alchimist可被用來生成和配置payload,來遠端截圖、執行任意命令和遠端shellcode,還支持建立自定義感染機制,在設備上安裝Insekt,並通過生成PowerShell和wget程式碼片段來安裝RATs。
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html
安全工具
SpyCast
跨平臺的mDNS列舉工具。
https://github.com/evilsocket/spycast
matano
AWS的開源Security Lake平臺。
https://www.matano.dev/docs/
安全分析
CISA發佈開源C2日誌視覺化工具RedEye
https://www.bleepingcomputer.com/news/security/cisa-releases-open-source-redeye-c2-log-visualization-tool/
暴雪正在調查《守望先鋒2》中導致PC關閉的bug
https://www.videogameschronicle.com/news/blizzard-is-investigating-an-overwatch-2-bug-thats-shutting-down-pcs/
微軟將Office更名為 Microsoft 365
https://www.bleepingcomputer.com/news/microsoft/microsoft-is-rebranding-office-to-microsoft-365/
研究人員詳細介紹上個月修復的Windows零日漏洞
https://thehackernews.com/2022/10/researchers-reveal-detail-for-windows.html
澳大利亞警方特工在哥倫比亞資料洩露事件中暴露
https://www.bleepingcomputer.com/news/security/australian-police-secret-agents-exposed-in-colombian-data-leak/
CISA發佈25條工業控制系統公告
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/13/cisa-releases-twenty-five-industrial-control-systems-advisories
西門子和施耐德電氣發佈19條新的安全公告
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-release-19-new-security-advisories