BitSight稱殭屍網路MyloBot每天感染超過50000臺設備;研究人員披露macOS和iOS中新的許可權提升漏洞的細節

1、BitSight稱殭屍網路MyloBot每天感染超過50000臺設備

據媒體2月21日報道,殭屍網路MyloBot每天感染超過50000臺設備,其中大部分位於印度、美國、印度尼西亞和伊朗。它於2017年首次出現,在2020年初每日最多感染250000臺設備。當Mylobot收到來自C2的指令時,它會將被感染的計算機轉換為代理,這些設備將處理許多連接,並轉發通過命令和控制伺服器發送的流量。此外,對MyloBot基礎設施的分析發現了它與名為BHProxies的住宅代理服務的連接,表明後者正在使用被感染的設備。

https://thehackernews.com/2023/02/mylobot-botnet-spreading-rapidly.html

2、研究人員披露macOS和iOS中新的許可權提升漏洞的細節

2月21日,Trellix研究人員披露了macOS和iOS中發現的一個新的許可權提升漏洞類別。該研究基於Google和Citizen Lab在2021年的發現,當時披露了一個名為ForcedEntry的零點選iOS遠端程式碼執行漏洞。此次發現的新漏洞可繞過程式碼簽名在多個平臺應用程序中執行任意程式碼,導致macOS和iOS上的許可權提升和沙箱逃逸,CVSS評分在5.1到7.1之間。研究人員稱,這些漏洞可被用來獲取使用者訊息、位置資料、通話記錄和照片等敏感資訊的訪問許可權。

https://www.trellix.com/en-us/about/newsroom/stories/research/trellix-advanced-research-center-discovers-a-new-privilege-escalation-bug-class-on-macos-and-ios.html

3、Hydrochasma團伙主要針對亞洲的醫療和航運相關組織

據Symantec 2月22日報道,新駭客團伙Hydrochasma主要針對亞洲的醫學研究實驗室和航運公司。該活動至少從2022年10月開始就一直在進行,攻擊目標以及使用的一些工具表明,駭客的目標似乎是竊取情報。攻擊始於釣魚郵件,在獲得一臺設備的初始訪問許可權後,攻擊者安裝了快速反向代理(FRP),然後安裝Meterpreter和Gogo等多個工具。Hydrochasma攻擊的一個特點是它們僅依賴開源工具和LotL策略,不會留下任何痕跡。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/hydrochasma-asia-medical-shipping-intelligence-gathering

4、VMware更新修復Carbon Black App Contro中的漏洞

VMware在2月21日發佈安全更新,修復了Carbon Black App Control中的漏洞。這是一個注入漏洞(CVE-2023-20858),CVSS評分為9.1,擁有App Control管理控制檯訪問許可權的攻擊者可通過特製的輸入來訪問底層伺服器作業系統。此外,此次更新還修復了VMware vRealize Orchestrator的XML外部實體漏洞(CVE-2023-20855),攻擊者可通過特製輸入來繞過XML解析限制,從而導致資訊洩露或許可權提升。

https://thehackernews.com/2023/02/vmware-patches-critical-vulnerability.html

5、ESET發佈2022年中小型企業網路安全態勢的分析報告

2月21日,ESET發佈了關於2022年中小型企業網路安全態勢的分析報告。研究人員去年對1200多中小型企業(SMB)網路安全決策者進行了調查,其中69%的人表示在過去一年內遭到過攻擊,三分之一的人甚至表示被攻擊了不止一次。70%的企業稱在IT安全方面的投資跟不上運營模式改變的步伐,77%的SMB表示將繼續使用RDP等技術,儘管其存在安全風險。遭到攻擊的SMB中,32%表示需要7到12周來調查和重新配置IT系統,21%表示需要不到兩週。

https://www.welivesecurity.com/2023/02/21/eset-smb-digital-security-sentiment-report-damaging-effects-breach/

6、Microsoft發佈2022年DDoS攻擊態勢的分析報告

Microsoft於2月21日發佈了2022年DDoS攻擊態勢的分析報告。2022年,Microsoft平均每天會阻止1435次攻擊。在9月22日的單日攻擊次數最多,為2215次。最少的是8月22日,為680次。TCP攻擊是2022年最常見的DDoS攻擊形式,佔所有攻擊流量的63%,UDP佔22%,而資料包異常攻擊佔15%。在過去的一年中,持續時間較短的攻擊更為常見,89%的攻擊持續不到一小時,持續一到兩分鐘的攻擊佔26%。大多數攻擊針對的是美國,其次是印度、東亞和歐洲。

https://www.microsoft.com/en-us/security/blog/2023/02/21/2022-in-review-ddos-attack-trends-and-insights/

安全工具

Grepmarx

應用程序安全平臺,可以快速了解、分析和識別可能龐大且未知的程式碼庫中的漏洞。

https://github.com/Orange-Cyberdefense/grepmarx

CMLoot

查找儲存在SCCM/CM SMB共享上的有趣檔案。

https://github.com/1njected/CMLoot

安全分析

針對Fortinet RCE的漏洞利用已發佈

https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-fortinet-rce-flaws-patch-now/

Google將通過韌體強化來提高 Android 的安全性

https://www.bleepingcomputer.com/news/security/google-will-boost-android-security-through-firmware-hardening/

CISA 將三個已知的被利用漏洞添加到目錄中

https://www.cisa.gov/uscert/ncas/current-activity/2023/02/21/cisa-adds-three-known-exploited-vulnerabilities-catalog

Windows 11 KB5022905預覽版更新發布

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5022905-preview-update-released-with-13-changes/

愛爾蘭廣播公司遭到攻擊將影響未來幾天節目的播放

https://therecord.media/virgin-media-television-ireland-cyberattack/

Lehigh Valley Health Network遭到BlackCat攻擊

https://www.databreaches.net/lehigh-valley-health-network-reveals-attack-by-blackcat/

烏克蘭駭客聲稱在普京演講期間入侵俄羅斯電視網站

https://therecord.media/putin-speech-television-ddos-ukraine-it-army/

Coinbase解釋0ktapus駭客如何訪問公司目錄

https://therecord.media/coinbase-explains-how-0ktapus-hacker-accessed-corporate-directory/