黑客利用钓鱼活动分发伪装成Kaseya VSA安全更新的后门；Cisco Talos发现APT组SideCopy针对印度军事机构

Malwarebytes研究人员发现黑客正利用钓鱼活动分发伪装成Kaseya VSA安全更新的Cobalt Strike后门。此次活动中的恶意邮件包含一个名为SecurityUpdates.exe的附件，以及一个伪装成微软安全更新的链接。目前虽然Malwarebytes还没有确定此次钓鱼活动背后的目的是什么，但有趣的是，这个Cobalt Strike payload托管在一个旨在分发Dridex银行木马的活动使用的IP地址上。

Cisco Talos发现了APT组织SideCopy针对印度军事机构的攻击活动。该APT至少自2019年以来就开始活跃，似乎一直专注于网络间谍活动。SideCopy的感染链始于一个恶意LNK文件，然后涉及多个HTA和加载程序DLL以提供最终的payload。Talos称，SideCopy的攻击活动已从安装基于C#的CetaRAT、Allakore木马和njRAT，扩展到使用4个新的定制木马和2个商用RATLilith和Epicenter。

ReversingLabs的研究人员发现数十个NuGet软件包存在易被利用的漏洞。NuGet是Microsoft支持的.NET平台机制，作为管理器，旨在使开发人员能够共享可重用的代码。研究人员对托管在NuGet存储库上的软件包的进行分析，发现有51个软件包易受到高严重性漏洞的攻击，例如远程服务器文件管理库WinSCPHelper，使用了WinSCP版本5.11.2，存在任意代码执行漏洞(CVE-2021-3331)。

美国亚拉巴马州的电力公司Wiregrass称遭到勒索攻击。该公司称，其在上周六发现了此次攻击，该攻击只影响了一台服务器，导致其客户暂时无法访问帐户，其正努力恢复受影响的系统。但是目前尚未发现存在数据泄露问题，供电服务也未受到影响，而该公司没有按要求支付赎金。此外，该公司表示，其在攻击发生前的一周升级了计算机系统。

Rapid7的研究人员披露Sage X3企业资源规划(ERP)平台中的4个漏洞。其中最为严重的是远程命令执行漏洞（CVE-2020-7388），允许未经身份验证的攻击者以最高的NT AUTHORITY/SYSTEM用户权限在服务器上执行命令。其他为信息泄露漏洞（CVE-2020-7387）、身份验证不足漏洞（CVE-2020-7389）和持久性跨站脚本漏洞（CVE-2020-7390）。其中，结合使用CVE-2020-7387和CVE-2020-7388可完全控制目标系统。

投资公司Morgan Stanley称其第三方供应商的Accellion FTA遭到攻击，导致数据泄露。Morgan Stanley是一家领先的金融服务公司，在全球范围内提供投资银行、证券、财富和投资管理服务。为其提供账户维护服务的供应商Guidehouse于2021年1月份遭到攻击，并于5月将此事通知了这家投资公司。此次泄露信息包括其客户的姓名、地址、出生日期、社会安全号码和法人公司名称等。此外，该公司的一些加密文件连同解密密钥都一起被盗。