1、Pendragon拒絕LockBit團伙6000萬美元的贖金要求
媒體10月24日稱,英國汽車經銷商Pendragon Group遭到LockBit的勒索攻擊。該公司表示,攻擊發生在大約一個月前,未影響其正常運營,他們一直在與駭客聯繫,並收到了被盜檔案作為攻擊的證據,但沒有進行談判。據英國媒體稱,LockBit要求6000萬美元贖金,而Pendragon發言人表示他們堅持不向駭客付款的決定。Pendragon還澄清道,其IT團隊在遭到攻擊後立即做出了反應,調查顯示駭客僅竊取了5%的資料庫。
https://www.bleepingcomputer.com/news/security/pendragon-car-dealer-refuses-60-million-lockbit-ransomware-demand/
2、Cisco提醒AnyConnect中的兩個漏洞正被廣泛利用
Cisco在10月25日提醒客戶,適用於Windows的Cisco AnyConnect安全移動客戶端中的兩個漏洞正被廣泛利用。這些漏洞(CVE-2020-3433和CVE-2020-3153)可被本地攻擊者用來執行DLL劫持攻擊並將檔案複製到具有系統級許可權的系統目錄。成功利用後,攻擊者可以在具有系統許可權的目標設備上執行任意程式碼。該公司稱,在2022年10月,其發現有人試圖利用此漏洞,並強烈建議客戶升級。
https://www.bleepingcomputer.com/news/security/cisco-warns-admins-to-patch-anyconnect-flaw-exploited-in-attacks/
3、烏克蘭就Cuba團伙針對其關鍵基礎設施的攻擊發出警報
據10月24日報道,烏克蘭計算機應急響應小組(CERT-UA)已就勒索團伙Cuba對其關鍵鍵基礎設施的攻擊發出警報。從10月21日開始,CERT-UA就檢測到新一波釣魚郵件,冒充了烏克蘭武裝部隊總參謀部新聞服務部,誘使收件人點選其中的嵌入式連結,最終會安裝ROMCOM RAT。該機構表示,考慮到RomCom後門的使用以及相關檔案的其他特徵,推測此次活動與Tropical Scorpius(UNC2596)有關,該團伙負責分發Cuba勒索軟體。
https://securityaffairs.co/wordpress/137567/cyber-warfare-2/cuba-ransomware-cert-ua.html
4、新的廣告活動Dormant Colors分發惡意Chrome擴展
10月23日,Guardio Labs披露了新一輪的惡意廣告活動Dormant Colors。到2022年10月中旬,在Chrome和Edge網路商店中都有30個瀏覽器擴展的變種,累計超過100萬的安裝量。該活動的主題與顏色有關,始於惡意廣告活動,以新穎的方法在沒人注意的情況下側載入真正的惡意程式碼。最後,不僅竊取目標搜尋和瀏覽資料,併為10000個網站引流,使用者在這些網站上進行的任何購買行為都會為攻擊者帶來佣金。
https://guardiosecurity.medium.com/dormant-colors-live-campaign-with-over-1m-data-stealing-extensions-installed-9a9a459b5849
5、SideWinder利用新後門WarHawk攻擊巴基斯坦的組織
據媒體10月24日報道,Zscaler披露了駭客團伙SideWinder的新後門WarHawk。SideWinder疑似與印度有關,自2012年以來一直活躍,主要針對亞洲遞去,尤其是巴基斯坦的政府、軍隊和企業組織。今年9月,研究人員在巴基斯坦國家電力監管局的合法網站nepra[.]org[.]pk發現一個武器化ISO檔案,來激活用來安裝WarHawk的killchain。WarHawk則偽裝成ASUS Update Setup和Realtek HD Audio Manager等合法應用,它分發Cobalt Strike作為最終payload。
https://thehackernews.com/2022/10/sidewinder-apt-using-new-warhawk.html
6、建築公司Interserve因遭到勒索攻擊被罰款440萬英鎊
10月24日報道稱,英國建築公司Interserve因勒索攻擊洩露113000名員工的資料,被英國資料保護監管機構罰款440萬英鎊。資訊專員辦公室(ICO)表示,Interserve Group未能採取適當的安全措施來防範網路攻擊。ICO解釋道,攻擊始於釣魚郵件,某員工打開後無意中下載了惡意軟體,該公司的AV軟體已發送警報。但後續調查不夠徹底,導致攻擊者訪問了283個系統和16個賬戶,並卸載了公司的AV軟體。Interserve 已就罰款向ICO提出上訴,但最終罰款並未減少。
https://therecord.media/british-company-fined-4-4-million-over-ransomware-attack/
安全工具
Aftermath
基於Swift的開源事件響應框架。
https://github.com/jamf/aftermath
Suborner
創建一個具有管理許可權的不可見機器帳戶。
https://github.com/r4wd3r/Suborner
安全分析
Google Chrome將於2023年2月放棄對Windows 7/8.1的支持
https://www.bleepingcomputer.com/news/google/google-chrome-to-drop-support-for-windows-7-81-in-feb-2023/
微軟修復阻止 Windows 11 22H2升級的列印問題
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-printing-issue-blocking-windows-11-22h2-upgrades/
Check Point發佈2022年Q3品牌釣魚活動的分析報告
https://blog.checkpoint.com/2022/10/24/online-shoppers-beware-scammers-most-likely-to-impersonate-dhl/
Snatch聲稱攻擊威斯康星學區
https://therecord.media/ransomware-group-claims-attack-on-wisconsin-school-district/
挪威總理提醒俄羅斯對石油和天然氣行業的威脅
https://securityaffairs.co/wordpress/137561/cyber-warfare-2/norway-pm-warns-russia-threat.html
CNAME偽裝:通過DNS偽裝第三方
https://unit42.paloaltonetworks.com/cname-cloaking/
威脅分析報告:廣泛使用DLL側載
https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused
微軟:保護物聯網設備免受針對關鍵基礎設施的攻擊
https://www.microsoft.com/en-us/security/blog/2022/10/21/securing-iot-devices-against-attacks-that-target-critical-infrastructure/
