1、微軟發佈2月份安全更新,包括3個已被利用的漏洞
2月14日,微軟發佈了2023年2月的安全更新,修復包括3個被利用0 day在內的77個漏洞。其中,已被利用的漏洞分別為Windows圖形元件中的遠端程式碼執行漏洞(CVE-2023-21823),可用來以SYSTEM許可權執行命令;Microsoft Publisher安全功能繞過漏洞(CVE-2023-21715),特製文件可利用其繞過Office宏策略;以及Windows通用日誌檔案系統驅動程序特權提升漏洞(CVE-2023-23376),可用來獲得SYSTEM許可權。
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2023-patch-tuesday-fixes-3-exploited-zero-days-77-flaws/
2、Cloudflare檢測到針對其客戶的大規模DDoS攻擊
據媒體2月14日報道,Cloudflare檢測到數十次超大容量DDoS攻擊。該公司表示,大多數攻擊的峰值在每秒50-70百萬個請求(rps)左右,最大峰值超過7100萬rps,這是迄今為止最大規模的HTTP DDoS攻擊。這些攻擊基於HTTP/2,是使用來自多個雲提供商的30000多個IP地址針對各種目標發起的,包括遊戲提供商、雲端運算平臺、加密貨幣公司和託管提供商。在過去的一年裡,研究人員看到了更多來自於雲端運算供應商的攻擊。
https://thehackernews.com/2023/02/massive-http-ddos-attack-hits-record.html
3、Phylum發現451個旨在劫持加密貨幣交易的惡意PyPI包
Phylum在2月10日稱其發現451個惡意PyPI包,旨在通過安裝惡意擴展劫持基於瀏覽器的加密貨幣交易。這是最初於2022年11月發現的活動的延續,當時只有27個惡意PyPi包。在此次活動中被模仿的流行軟體包包括bitcoinlib、ccxt和cryptocompare等,每個都有13到38個版本,試圖覆蓋可能的各種錯誤類型。為了繞過檢測,攻擊者使用隨機的16位中文漢字組合作為函數和變數識別符號。
https://blog.phylum.io/phylum-discovers-revived-crypto-wallet-address-replacement-attack
4、Group-IB透露其近期遭到來自Tonto Team團伙的攻擊
Group-IB於2月13日透露,其檢測並阻止了來自APT團伙Tonto Team的攻擊。攻擊發生在2022年6月,這是第二次針對Group-IB的攻擊,第一次發生在2021年3月。攻擊始於一封釣魚郵件,分發了使用Royal Road Weaponizer創建的惡意Microsoft Office文件。在攻擊期間,攻擊者還利用了Bisonal.DoubleT後門。此外,研究人員發現了一個新的下載程序TontoTeam.Downloader(又名QuickMute),它主要負責從遠端伺服器檢索下一階段的惡意軟體。
https://www.group-ib.com/blog/tonto-team/
5、CheckPoint發佈2023年1月份全球威脅指數的報告
2月13日,Check Point發佈2023年1月份全球威脅指數的報告。Qbot和Lokibot是上個月最常見的惡意軟體,對全球組織的影響超過了6%,其次是AgentTesla,全球影響為5%。教育和研究行業仍然是全球受到攻擊最嚴重的行業,其次是政府軍隊以及醫療保健行業。最常被利用的漏洞為Web伺服器暴露的Git儲存庫資訊洩露和HTTP標頭遠端程式碼執行漏洞。最常見的移動惡意軟體是Anubis,其次是Hiddad和AhMyth。
https://blog.checkpoint.com/2023/02/13/january-2023s-most-wanted-malware-infostealer-vidar-makes-a-return-while-earth-bogle-njrat-malware-campaign-strikes/
6、Ahnlab發佈關於Dalbit團伙攻擊活動的分析報告
Ahnlab在2月13日發佈了關於Dalbit團伙攻擊活動的分析報告。自2022年以來,該團伙已對韓國公司進行了50多次攻擊,大多數是中小型公司,涉及技術、工業、化工、建築和汽車等行業的組織。攻擊者首先通過利用漏洞獲得訪問許可權,嘗試使用WebShell等工具來控制系統。然後利用網路掃描工具和賬戶盜竊工具等進行內部偵察和竊取資訊。最終,攻擊者在竊取了他們想要的所有資訊後,會使用BitLocker加密某些驅動器並索要贖金。
https://asec.ahnlab.com/en/47455/
安全工具
NDC協議模糊器
NDC允許終端ATMS向伺服器NDC伺服器發送未經請求的請求。
https://packetstormsecurity.com/files/170867/ndc-fuzzer.py.txt
WindowSpy
用於目標使用者監視的Cobalt Strike Beacon對象檔案。
https://github.com/CodeXTF2/WindowSpy
安全分析
Windows 10 20H2企業版將於5月終止服務
https://www.bleepingcomputer.com/news/microsoft/windows-10-20h2-for-enterprise-reaches-end-of-service-in-may/
西班牙和美國搗毀網路釣魚團伙
https://www.bleepingcomputer.com/news/security/spain-us-dismantle-phishing-gang-that-stole-5-million-in-a-year/
歐洲之星強制密碼重置失敗並鎖定使用者
https://www.bleepingcomputer.com/news/security/eurostar-forces-password-resets-then-fails-and-locks-users-out/
美英聯合制裁Trickbot駭客組織
https://www.hackread.com/trickbot-hacking-group-sanctioned/
金梅爾中心、費城交響樂團網站遭到網路攻擊
https://www.databreaches.net/kimmel-center-philadelphia-orchestra-websites-hit-by-cyber-attack/
AsyncRAT作為Windows幫助檔案(*.chm)分發
https://asec.ahnlab.com/en/47525/
Z-Library為每個使用者提供了秘密的個人域
https://www.bleepingcomputer.com/news/technology/z-library-now-has-secret-personal-domains-for-each-user/
Killnet DDoS攻擊北約網站
https://securityaffairs.com/142192/hacking/killnet-targets-nato-websites.html
研究人員發現700多個惡意開源包
https://www.infosecurity-magazine.com/news/researchers-700-malicious-open/