1、Okta透露其GitHub儲存庫遭到駭客攻擊源程式碼洩露
據12月21日報道,身份驗證服務和身份與訪問管理(IAM)解決方案的提供商Okta表示,其私人GitHub儲存庫在本月遭到駭客攻擊。經調查,駭客已經複製Okta程式碼儲存庫,但並未影響Okta服務或客戶資料。該事件似乎僅與Okta Workforce Identity Cloud(WIC)程式碼儲存庫有關,與Auth0 Customer Identity Cloud產品無關。今年9月,Okta旗下的Auth0也曾發生了類似的資料洩露事件。
https://www.bleepingcomputer.com/news/security/okta-says-its-github-account-hacked-source-code-stolen/
2、德國跨國工業公司ThyssenKrupp AG遭到網路攻擊
媒體12月21日報道,德國跨國工業工程和鋼鐵生產公司ThyssenKrupp透露其材料服務部和公司總部遭到網路攻擊。目前,該公司尚未披露此次攻擊的類型,也沒有駭客團伙聲稱對此次事負責,但公司發言人宣稱沒有資料洩露的跡象。這並不是該公司第一次遭到攻擊,2016年,據稱東南亞的駭客團伙竊取其公司機密;2020年12月,ThyssenKrupp Materials集團公司遭到NetWalker勒索團伙的攻擊。
https://securityaffairs.co/wordpress/139870/hacking/thyssenkrupp-targeted-cyberattack.html
3、研究團隊稱Raspberry Robin近期針對電信和政府組織
TrendMicro在12月20日發佈報告稱發現了Raspberry Robin在近期針對電信和政府組織的攻擊活動。惡意軟體通過惡意USB驅動器進行分發,當目標插入USB驅動器並雙擊其中的.LNK檔案時,設備就會感染惡意軟體。然後會濫用合法的MSIExec.exe可執行檔案,下載一個惡意的MSI安裝程序,安裝Raspberry Robin的payload。此外,該惡意軟體嘗試通過虛假的payload來迷惑研究人員,以及在檢測到它正在沙箱和調試工具中運行時繞過檢測。
https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html
4、新型Android木馬BrasDex被用於針對巴西的攻擊活動
研究團隊在12月15日披露了針對巴西金融機構的新型Android木馬BrasDex。BrasDex具有一個複雜的鍵盤記錄系統,以及一個強大的自動傳輸系統(ATS)引擎。該活動已持續一年多,它最初冒充Android設置應用並針對巴西銀行應用,在最新的活動中,它開始冒充一個特定的銀行應用程序(Banco Santander BR)。分析發現,用於BrasDex的C2基礎設施也被用來控制Casbaneiro,後者主要針對巴西和墨西哥的銀行和加密貨幣服務。
https://www.threatfabric.com/blogs/brasdex-a-new-brazilian-ats-malware.html
5、兩男子因篡改甘迺迪國際機場的計程車排程系統被捕
媒體12月20日稱,兩名男子因入侵併篡改甘迺迪國際機場的計程車排程系統被捕,並面臨最高10年的監禁。根據起訴書,現年48歲的Daniel Abayev和Peter Leyman早在2019年9月就與俄羅斯駭客合謀入侵排程系統,允許司機付費插隊。同謀者被指控試圖以各種方式入侵該系統,包括賄賂某人通過隨身碟安裝惡意軟體,使用Wi-Fi連接進入該系統,以及偷竊連接到該平臺的平板電腦。檢察官稱,他們每天策劃多達1000次加速插隊,其中100000美元的收益被匯給了俄羅斯的同謀。
https://therecord.media/russian-hackers-accessed-jfk-airport-taxi-software-port-authority/
6、Unit 42發佈關於Gamaredon的攻擊活動的分析報告
12月20日,Unit 42發佈了關於俄羅斯團伙Gamaredon攻擊活動的分析報告。Unit 42對該團伙的持續監控發現了500多個新域和200個惡意軟體樣本,並發現其策略在過去10個月中發生了多次轉變。在審查該團伙的IoC期間,研究人員發現了它在8月30日試圖攻擊北約成員國內一家大型石油精煉公司的活動,但是沒有成功。此外,該團伙還使用Telegram頁面查找C2伺服器,並利用快速通量DNS在短時間內輪換多個IP地址。
https://unit42.paloaltonetworks.com/trident-ursa/
安全工具
AzureHound
適用於Microsoft Azure的BloodHound資料收集器。
https://github.com/BloodHoundAD/AzureHound
DriverBuddyReloaded
自動執行一些繁瑣的Windows核心驅動程序逆向工程任務。
https://github.com/VoidSec/DriverBuddyReloaded
安全分析
微軟推出Windows Server Hyper-V VM問題的緊急修復
https://www.bleepingcomputer.com/news/microsoft/microsoft-pushes-emergency-fix-for-windows-server-hyper-v-vm-issues/
2023年的5個端點管理預測
https://www.microsoft.com/en-us/security/blog/2022/12/20/microsoft-intune-5-endpoint-management-predictions-for-2023/
威脅焦點:Excel中的XLLing
https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/
彈性IP劫持 – AWS中的一種新攻擊媒介
https://www.mitiga.io/blog/elastic-ip-hijacking-a-new-attack-vector-in-aws
勒索團伙使用新Exchange漏洞OWASSRF感染伺服器
https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-new-microsoft-exchange-exploit-to-breach-servers/
KmsdBot殭屍網路疑被用作DDoS出租服務
https://thehackernews.com/2022/12/kmsdbot-botnet-suspected-of-being-used.html
微軟將於1月關閉Exchange Online基本身份驗證
https://www.bleepingcomputer.com/news/microsoft/microsoft-will-turn-off-exchange-online-basic-auth-in-january/
Apple準備關閉Dark Sky
https://news.softpedia.com/news/apple-is-getting-ready-to-shut-down-dark-sky-536691.shtml