每日头条
1、Symantec发现Lazarus团伙针对化工行业的攻击活动
4月14日,Symantec发布了关于朝鲜黑客团伙Lazarus最新活动的分析报告。此次活动似乎是Operation Dream Job的延续,自2022年1月开始,主要针对化学行业的组织。攻击始于恶意HTM文件,可能是通过邮件中的恶意链接或Web分发的。HTM文件会被复制到DLL文件scskapplink.dll中,并注入到合法的系统管理软件INISAFE Web EX Client中。scskapplink.dll文件通常是带有恶意导出的签名木马工具,攻击者使用的签名包括DOCTER USA,INC和“A” MEDICAL OFFICE,PLLC。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical
2、Cisco修复其WLC中的身份验证绕过漏洞CVE-2022-20695
媒体4月14日报道,Cisco已修复其无线LAN控制器(WLC)中的身份验证绕过漏洞。该漏洞追踪为CVE-2022-20695,CVSS评分为10,可被用来绕过身份验证控制并通过WLC的管理界面登录设备。Cisco在公告中称,这个漏洞是由于密码验证算法实施不当造成的,攻击者可以使用特制的凭据来利用此漏洞,成功利用后可获得管理员权限并完全控制目标设备。该公司建议用户更新到版本8.10.171.0以修复该漏洞。
https://thehackernews.com/2022/04/critical-auth-bypass-bug-reported-in.html
3、乌克兰CERT-UA检测到两起针对其官方机构的攻击活动
据4月14日的报道,乌克兰计算机应急响应小组(CERT-UA)检测到两起针对其官方机构的新活动。第一起钓鱼活动通过名为Mobilization Register.xls的Excel文档分发IcedID(又名BankBot),该活动与UAC-0041团伙有关。第二起钓鱼活动以总统V.Zelensky为武装部队成员颁发勋章作为诱饵,利用了Zimbra Collaboration Suite中的XSS漏洞(CVE-2018-6882) 攻击政府组织。
https://www.bleepingcomputer.com/news/security/hackers-target-ukrainian-govt-with-icedid-malware-zimbra-exploits/
4、勒索团伙OldGremlin利用新后门TinyFluff瞄准俄罗斯
媒体4月14日称,Group-IB发现了勒索团伙OldGremlin针对俄罗斯的新一轮钓鱼攻击。攻击者冒充俄罗斯一家金融机构的高级会计师,声称近期对俄罗斯实施的制裁将暂停Visa和Mastercard支付处理系统的运营。钓鱼邮件将收件人重定向到存储在Dropbox中的恶意文档,并下载一个名为TinyFluff的自定义后门,该后门是TinyNode的新变种,它会启动Node.js解释器并使攻击者远程访问目标系统。
https://www.bleepingcomputer.com/news/security/oldgremlin-ransomware-gang-targets-russia-with-new-malware/
5、西班牙足协RFEF遭到攻击导致邮件和音频等数据泄露
据媒体4月15日报道,西班牙皇家足球协会(RFEF)向警方报告其遭到网络攻击。此次攻击导致协会主席Luis Rubiales和秘书长Andreu Camps在内的高级管理人员的电子邮件帐户、私人文本和音频对话等相关信息泄露。RFEF在上周四的一份声明中表示,被盗信息很可能已提供给不同的媒体。有媒体声称已通过第三方收到了机密合同、私人WhatsApp对话、电子邮件和大量有关RFEF管理的文件。
https://www.espn.com/soccer/spain-esp/story/4642921/spanish-fa-report-cyber-attack-to-police-after-email-accounts-private-texts-stolen
6、Segrança-Informatica发布勒索软件SunnyDay分析报告
4月11日,Segrança-Informatica发布了关于勒索软件SunnyDay的技术分析报告。它是一个基于SALSA20流密码的简单勒索软件,带有嵌入的RSA公钥blob,用于加密对称SALSA20使用的生成密钥,该密钥用来加密目标设备中的所有可用文件。分析发现,SunnyDay与其它勒索软件样本之间存在相似之处,例如Ever101、Medusa Locker、Curator和Payment45,但仍无法对其进行归因。
https://seguranca-informatica.pt/analysis-of-the-sunnyday-ransomware/
安全工具
vAPI
易受攻击的逆向编程接口,它是自托管API,以练习的方式模仿OWASP API前10个场景。
https://github.com/roottusk/vapi
Scirius
专门用于 Suricata 规则集管理的 Web 界面,处理规则文件并更新相关文件。
https://scirius.readthedocs.io/en/latest/
bore
Rust 中的一个现代、简单的 TCP 隧道。
https://github.com/ekzhang/bore
安全分析
十大密码攻击以及如何阻止它们
https://www.bleepingcomputer.com/news/security/the-top-10-password-attacks-and-how-to-stop-them/
CVE-2021-1782:iOS 凭证中的漏洞
https://googleprojectzero.blogspot.com/2022/04/cve-2021-1782-ios-in-wild-vulnerability.html
Conti攻击德国风力涡轮机公司Nordex
https://www.hackread.com/conti-ransomware-german-wind-turbine-giant-nordex/
CISA命令组织修复已被利用的VMware和Chrome漏洞
https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-fix-actively-exploited-vmware-chrome-bugs/
GitHub称某黑客利用被盗OAuth令牌入侵数十个组织
https://thehackernews.com/2022/04/github-says-hackers-breach-dozens-of.html
Lazarus上个月从Ronin Network窃取了5.4 亿美元
https://thehackernews.com/2022/04/lazarus-hackers-behind-540-million-axie.html
推荐阅读:
Sandworm用Industroyer2攻击乌克兰某能源公司
Anonymous泄露俄罗斯机构Roskomnadzor的820GB数据
原文始发于微信公众号(维他命安全):Symantec发现Lazarus针对化工行业的攻击活动;Cisco修复其WLC中的身份验证绕过漏洞CVE-2022-20695
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论