微軟發現北韓攻擊者利用H0lyGh0st攻擊中小型企業;美國中情局前工程師因Vault 7洩露事件而被定罪

1、微軟發現北韓攻擊者利用H0lyGh0st攻擊中小型企業

7月14日,微軟發佈報告分析了北韓DEV-0530(自稱為H0lyGh0st)的攻擊策略以及其勒索軟體的技術細節。自2021年6月以來,該團伙一直在開發和使用勒索軟體進行攻擊,並早在2021年9月就成功入侵了多個國家的小型企業。研究人員將該團伙的勒索軟體歸類為兩個系列:SiennaPurple和SiennaBlue,並在這些系列下確定了四個變體:BTLC_C.exe、HolyRS.exe、HolyLock.exe和BLTC.exe。

https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/

2、美國中情局前工程師因Vault 7洩露事件而被定罪

據7月14日報道,紐約的一個聯邦陪審團宣佈,中央情報局軟體工程師向維基解密網站(WikiLeaks)洩露大量機密檔案的罪名成立。現年33歲的Joshua Schulte面臨的九項指控罪名均成立,包括非法收集國防資訊等。維基解密將這些機密檔案命名為「Vault 7」,並在2017年發佈,這些檔案詳細揭露了CIA如何入侵電腦、智慧手機、應用和電視機等。維基解密稱,Vault 7是有史以來關於CIA的最大一次機密檔案公佈。高級情報官員普遍認為,這是對美國間諜機構造成打擊的最具破壞性的洩密事件之一。

https://thehackernews.com/2022/07/former-cia-engineer-convicted-of.html

3、Cloudflare稱其近千名客戶遭到來自Mantis的DDoS攻擊

媒體7月14日報道,Cloudflare表示其在6月份緩解了來自Mantis的大規模DDoS攻擊。Mantis主要針對IT和電信行業(36%)、新聞媒體和出版物行業(15%)、金融行業(10%) 和遊戲行業(12%)的實體。該公司指出,在過去30天裡,其近千名客戶遭到了3000多次DDoS攻擊。與由IoT設備組成的傳統殭屍網路不同,Mantis使用的是被劫持的虛擬機器和伺服器,它僅用5000多個機器人就能每秒生成2600萬個HTTPS請求。該活動主要針對美國(20%)和俄羅斯(15%),其次是土耳其、法國和波蘭等。

https://www.bleepingcomputer.com/news/security/mantis-botnet-behind-the-record-breaking-ddos-attack-in-june/

4、Netwrix Auditor中存在可用來執行任意程式碼的漏洞

據7月16日報道,Bishop Fox的在Netwrix Auditor軟體中發現了一個漏洞,可用來在受影響的設備上執行任意程式碼。Netwrix Auditor是一款允許組織監控其IT基礎設施的審計軟體,被全球有超過11000個組織使用。這是一個不安全的對象反序列化漏洞,根本原因是存在一個不安全的.NET遠端處理服務,可在Netwrix伺服器上的TCP埠9004上訪問,能被用來在伺服器上執行任意命令。此外,由於該命令是以NT AUTHORITY/SYSTEM許可權執行的,攻擊者可利用該漏洞完全控制Netwrix伺服器。目前,漏洞已被修復。

https://securityaffairs.co/wordpress/133310/hacking/netwrix-auditor-flaw.html

5、Unit 42透露針對Elastix VoIP系統的攻擊活動的細節

7月15日,Unit 42稱其發現了一場針對Elastix VoIP電話伺服器的大規模活動。Elastix是統一通訊的伺服器軟體,用於FreePBX的Digium電話模組。攻擊活動開始自2021年12月,至2022年3月研究人員已發現了超過50萬個惡意軟體樣本。報告指出,攻擊者會通過在目標的Digium軟體中下載和執行額外的payload,植入一個web shell來竊取資料。就時間線而言,Web shell似乎與Rest Phone Apps(restapps)模組中的遠端程式碼執行漏洞(CVE-2021-45461)相關。

https://unit42.paloaltonetworks.com/digium-phones-web-shell/

6、Wordfence稱大規模攻擊活動已掃描160萬個WP網站

據媒體7月15日稱,Wordfence研究人員檢測到了一場大規模攻擊活動,已經掃描了近160萬個WordPress網站。攻擊者主要針對Kaswara Modern WPBakery頁面生成器,該外掛已被其開發者放棄。據Wordfence遙測資料,攻擊從7月4日開始,目前仍在進行中,平均每天有443868次攻擊嘗試。攻擊者會向「wp-admin/admin-ajax/php」發送POST請求,並利用外掛的「uploadFontIcon」AJAX函數上傳包含PHP檔案的惡意ZIP payload。這些攻擊來自10215個不同的IP地址,研究人員建議使用者立刻刪除該外掛,並阻止攻擊者使用的IP地址。

https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/

安全工具

Microsoft 365 Extractor Suite

包含兩個不同的腳本,可用於獲取 Microsoft 365 統一審核日誌。

https://github.com/invictus-ir/Microsoft-365-Extractor-Suite

DeepTraffic

網路流量分類的深度學習模型。

https://github.com/echowei/DeepTraffic

Aiodnsbrute

Python 3.5+工具,使用asyncio非同步暴力破解域名。

https://github.com/blark/aiodnsbrute

安全分析

微軟調查7月更新導致Access應用程序中斷的事件

https://www.bleepingcomputer.com/news/microsoft/microsoft-investigates-july-updates-breaking-access-applications/

立陶宛廣告網站alio.lt遭受網路攻擊

https://www.databreaches.net/lithuanian-ad-website-hit-by-cyberattack-warns-of-possible-customer-data-leak/

攻擊者入侵NFT平臺Premint NFT並竊取314個NFT

https://securityaffairs.co/wordpress/133339/cyber-crime/crooks-stole-375k-from-premint-nft-it-is-one-of-the-biggest-nft-hacks-ever.html

Matrix 訊息傳遞網路現在擁有超過 6000 萬使用者

https://www.bleepingcomputer.com/news/security/the-matrix-messaging-network-now-counts-more-than-60-million-users/

DHS 發佈關於 Log4j 漏洞和響應的報告

https://www.infosecurity-magazine.com/news/dhs-report-log4j-vlnerabilities/