每日头条
1、Cash称其820万的用户信息已泄露,内部员工违规下载
据媒体4月5日报道,Cash App 820万的用户信息已泄露。Cash App的母公司Block,Inc.在提交的8-K表格中表示,事件发生在2021年12月10日,其一个前员工在离职后下载了Cash App的内部报告。此次泄露了用户的个人信息,以及其在Cash App上的投资活动相关的信息,如持股量和交易活动等。Block表示,目前他们正在通知受泄露事件影响的820万客户有关此事的更多信息。
https://www.bleepingcomputer.com/news/security/cash-app-notifies-82-million-us-customers-about-data-breach/
2、乌克兰CERT-UA发现Armageddon新一轮钓鱼攻击活动
媒体4月5日称,乌克兰计算机应急响应小组(CERT-UA)发现了Armageddon(Gamaredon)新的钓鱼活动。该机构已经确定了两个独立的案件,一个针对乌克兰的组织,另一个针对欧盟的政府机构。针对乌克兰的活动以俄罗斯战犯信息为诱饵,使用附有HTML文件的钓鱼邮件分发恶意软件;针对欧盟的活动以军事和人道主义救助为题,通过一个RAR附件分发恶意软件。Armageddon与俄罗斯FSB有关,自2014年以来一直活跃。
https://www.bleepingcomputer.com/news/security/ukraine-spots-russian-linked-armageddon-phishing-attacks/
3、Conti团伙泄露从Parker Hannifin窃取的数GB文件
媒体4月5日报道称,美国工业公司Parker Hannifin大量数据泄露。该公司主要为航空航天、移动和工业领域的组织提供精密工程解决方案。它在3月14日检测到系统遭到入侵,之后立刻关闭部分系统并展开调查。目前调查仍在进行中,但已确定包括员工个人信息在内的部分数据已经泄露。研究人员发现,Conti在其数据泄露网站公开了从Parker窃取的超过5GB数据,并称这仅为被盗数据的3%。
https://www.securityweek.com/ransomware-gang-leaks-files-stolen-industrial-giant-parker-hannifin
4、英国The Works遭到攻击后部分零售商店暂时关门
据4月5日报道,英国The Works称其系统遭到非法访问,导致部分零售商店暂时关门。该公司在英国和爱尔兰拥有530家门店,销售书籍、玩具、文具、艺术品和工艺材料等,年收入约为3亿美元。The Works并未披露关于此次时间的更多细节,但其配送服务受到影响,有些门店只能接受现金。部分媒体报道,该事件源于一名员工遭到恶意邮件的攻击,导致公司的系统感染勒索软件。
https://www.bitdefender.com/blog/hotforsecurity/the-works-hit-by-hackers-uk-retailer-shuts-some-stores-after-problems-with-payment-tills/
5、Symantec发布Cicada团伙近期攻击活动的分析报告
4月5日,Symantec发布了Cicada(又名APT10)近期攻击活动的分析报告。此次活动开始于2021年年中,主要针对多个国家(涉及欧洲、亚洲和北美)的政府、法律、宗教和非政府组织(NGO)。攻击者首先通过未修复的Microsoft Exchange服务器获得初始访问权限,并使用后门Sodamaster等恶意软件实施攻击。此外,攻击者还通过DLL侧载技术,利用合法的VLC媒体播放器来安装自定义加载程序。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-china-ngo-government-attacks
6、Malwarebytes发布Colibri Loader新活动的研究报告
Malwarebytes在4月5日发布了Colibri Loader新活动的研究报告。这是一个相对较新的恶意软件,于2021年8月首次出现在黑客论坛上,用于分发和管理payload。此次活动利用了恶意Word文档,最终旨在分发Vidar Stealer。文档先与位于(securetunnel[.]co)的远程服务器连接,以加载名为trkal0.dot的远程模板,该模板与恶意宏联系来使PowerShell以setup.exe的形式下载Colibri Loader。
https://blog.malwarebytes.com/threat-intelligence/2022/04/colibri-loader-combines-task-scheduler-and-powershell-in-clever-persistence-technique/
安全工具
Process Overwriting
PE注入技术,与Process Hollowing 和 Module Overloading密切相关。
https://github.com/hasherezade/process_overwriting
jfscan v1.1.8
基于 Masscan 和 NMap 的超快速和可定制的端口扫描器。
https://github.com/nullt3r/jfscan
Auto-Elevate
此工具演示了 UAC 绕过的强大功能和 Windows 的内置功能。
https://github.com/FULLSHADE/Auto-Elevate
Subdomains.Sh
subdomains.sh包装用于子域枚举的工具,以在给定域上自动化工作流。
https://github.com/enenumxela/subdomains.sh
安全分析
英特尔关闭在俄罗斯的所有业务运营
https://www.bleepingcomputer.com/news/technology/intel-shuts-down-all-business-operations-in-russia/
Mandiant 股东起诉阻止谷歌 5.4 亿美元的交易
https://www.theregister.com/2022/04/04/mandiant_google_lawsuit/
微软将本地 Exchange、SharePoint 添加到漏洞赏金计划
https://www.bleepingcomputer.com/news/security/microsoft-adds-on-premises-exchange-sharepoint-to-bug-bounty-program/
微软宣布新的 Windows 11 安全、加密功能
https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-new-windows-11-security-encryption-features/
Rockwell PLC 中的严重漏洞可能用来植入恶意代码
https://thehackernews.com/2022/04/critical-bugs-in-rockwell-plc-could.html
Spring4Shell (CVE-2022-22965):详细信息和缓解措施
https://securelist.com/spring4shell-cve-2022-22965/106239/
推荐阅读:
Shutterfly遭到Conti的勒索攻击,数千台设备被加密
原文始发于微信公众号(维他命安全):Cash称其820万的用户信息已泄露,内部员工违规下载;Conti团伙泄露从Parker Hannifin窃取的数GB文件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论