維他命每日安全簡訊(2023.10.18)

1、烏克蘭至少11家電信公司遭到攻擊導致服務暫時中斷

據媒體10月17日報道,烏克蘭大量電信公司遭到攻擊。烏克蘭計算機應急響應小組(CERT-UA)透露,5月11日至9月27日,攻擊團伙(追蹤為UAC-0165)入侵了至少11家電信服務提供商的資訊和通訊系統(ICS),導致客戶服務中斷。攻擊首先利用工具masscan對目標網路進行偵察尋找未保護的RDP或SSH接口,然後使用ffuf、dirbuster、gowitness和nmap等工具來檢索Web服務中的漏洞。研究人員在被入侵的ISP系統中還發現了兩個後門,即Poemgate和Poseidon。

https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html

2、美國堪薩斯州各地法院遭到勒索攻擊運營受到影響

媒體10月16日稱,在遭到勒索攻擊後,美國堪薩斯州各地的法院面臨著各種問題。堪薩斯州最高法院在上週四發佈了一項行政命令,稱截至10月15日,法院書記官辦公室將無法進行電子歸檔。本週一,法院仍使用紙質記錄,且郵件系統處於關閉狀狀態。堪薩斯州塞奇威克縣法官透露,此次中斷是勒索攻擊導致的,但沒有透露攻擊團伙和贖金的相關資訊。目前,對此事件的調查正在進行中,尚不確定系統何時會恢復。

https://www.bleepingcomputer.com/news/security/kansas-courts-it-systems-offline-after-security-incident/

3、電視廣告公司Ampersand遭到Black Basta勒索攻擊

據10月17日報道,美國電視廣告銷售和技術公司Ampersand遭到勒索攻擊。該公司由美國三大有線電視運營商共同擁有,自1981年以來一直為廣告商提供約8500萬戶家庭的收視資料。Ampersand稱最近遭到勒索攻擊,導致運營暫時中斷,目前已經恢復了大部分業務的運營。Black Basta在上週末表示對此次攻擊負責,但沒有透露竊取了多少資料,也沒有發佈被盜資料樣本。

https://therecord.media/ampersand-television-advertising-sales-company-ransomware

4、Cloudflare發現偽裝成警報應用RedAlert的間諜軟體

Cloudflare在10月14日稱其發現惡意版本的RedAlert – Rocket Alerts應用程序,主要針對以色列的Android使用者。該惡意版本通過網站redalerts[.]me傳播,該網站創建於10月12日,可用於下載iOS和Android版本應用。其中iOS的下載會連結到合法的App Store頁面,Android下載直接提供惡意版本的APK。該APK使用了真正的RedAlert的程式碼,但會請求額外許可權。程序啟動後,後臺服務會濫用這些許可權收集資料,並在CBC模式下用AES加密,上傳到一個硬編碼IP地址。目前,該網站已經關閉。

https://blog.cloudflare.com/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information/

5、研究人員披露通過Discord分發Lumma Stealer的活動

10月16日,Trend Micro詳述了攻擊者如何利用Discord的內容交付網路(CDN)來託管和傳播Lumma Stealer,並討論了該資訊竊取惡意軟體的新增功能。攻擊者通常使用隨機Discord帳戶向目標發送訊息,通過為項目尋求幫助並提供10美元或Discord Nitro boost來誘惑目標。目標同意後會被要求下載一個檔案,其中包含Lumma Stealer。據稱,Lumma Stealer還會載入其它惡意軟體,並能夠利用人工智慧和深度學習來檢測機器人。

https://www.trendmicro.com/en_us/research/23/j/beware-lumma-stealer-distributed-via-discord-cdn-.html

6、Unit42發佈關於XorDDoS攻擊活動的深入分析報告

10月16日,Unit42發佈了關於XorDDoS攻擊活動的深入分析報告。此次分析的活動於7月28日開始,並於8月12日激增,成功入侵了位於21個國家/地區的系統,其中大部分攻擊流量集中在非洲、南亞和東南亞。該木馬感染Linux設備並將其加入為殭屍網路以執行DDoS攻擊,攻擊者利用了以前濫用過的C2域協調殭屍網路。然而,他們最近將其C2伺服器從公共託管服務遷移到了新的IP地址。

https://unit42.paloaltonetworks.com/new-linux-xorddos-trojan-campaign-delivers-malware/

安全動態

微軟修復Windows 10安全更新安裝問題

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-10-security-update-installation-issue/

Signal否認其平臺存在零日漏洞的說法

https://www.bleepingcomputer.com/news/security/signal-says-there-is-no-evidence-rumored-zero-day-bug-is-real/

Lazarus的Operation Dream Magic活動

https://asec.ahnlab.com/en/57736/

後門BLOODALCHEMY的分析

https://www.elastic.co/security-labs/disclosing-the-bloodalchemy-backdoor

CISA和FBI敦促管理員立即修復Atlassian Confluence

https://www.bleepingcomputer.com/news/security/cisa-fbi-urge-admins-to-patch-atlassian-confluence-immediately/

WordPress Royal Elementor外掛的漏洞被利用

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-wordpress-royal-elementor-plugin/

HHS HC3提醒醫療保健行業注意NoEscape

https://www.infosecurity-magazine.com/news/healthcare-warned-ransomware/

WinRAR漏洞CVE-2023-38831被利用

https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack

Gartner:2024年頂級戰略技術趨勢

https://www.networkworld.com/article/3708635/gartner-top-strategic-technology-trends-for-2024.html#tk.rss_security

Milesight工業路由器漏洞可能被攻擊利用

https://www.securityweek.com/milesight-industrial-router-vulnerability-possibly-exploited-in-attacks/

相關文章

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...