微软Exchange服务器遭黑客攻击部署蜂巢勒索软件

4月22日，星期五，您好！中科汇能与您分享信息安全快讯：

REvil的TOR网站活跃起来可以重定向到新的勒索软件操作

REvil ransomware在TOR网络中的服务器在数月不活动后恢复，并重定向到一个新的操作，该操作似乎至少从去年12月中旬开始。目前尚不清楚谁是新的与REvil有关的行动的幕后黑手，但新的泄密网站列出了大量来自过去REvil攻击的受害者，以及两名新的受害者。然而，几天前，安全研究人员pancak3和Soufiane Tahiri注意到新的REvil leak网站正在RuTOR上推广，RuTOR是一个专注于俄语地区的论坛市场。BleepingComputer近日证实，新网站位于另一个域中，但导致了激活时使用的最初一个REvil，而两名研究人员捕获了重定向。

微软Exchange服务器遭黑客攻击部署蜂巢勒索软件

Hive勒索软件的一家分支机构一直针对易受ProxyShell安全问题影响的Microsoft Exchange服务器，部署各种后门，包括Cobalt Strike beacon。从那里，威胁参与者执行网络侦察、窃取管理员帐户凭据、过滤有价值的数据，最终部署文件加密负载。ProxyShell是Microsoft Exchange Server中三个漏洞的集合，允许在易受攻击的部署上无需身份验证即可远程执行代码。这些漏洞已经被多个威胁参与者使用，包括Conti、Blackyte、Babuk、Cuba和LockFile等勒索软件，这些漏洞是在漏洞可用后使用的。

网络攻击后Funky鸽子暂停订单

WHSmith旗下的Funky Pidge透露，作为预防措施，该公司已将其系统离线，以阻止其履行客户订单。该公司的网站上目前有这样一条信息：“哎呀！我们遇到一些问题，目前无法接受新订单。请稍后再试！”该零售商表示，已将事件告知监管机构和执法部门，目前正在外部网络安全专家的帮助下进行调查。然而，它向客户保证，没有任何支付数据存在风险，也不相信任何账户密码被泄露。Funky Doge在一份声明中说：“上周四，我们发现这起事件后，立即启动了由外部专家牵头的法医调查，以了解这起事件以及是否对客户数据产生了什么影响。

Okta:Lapsus$漏洞只持续了25分钟攻击了2名客户

身份和访问管理公司Okta表示，对1月份Lapsus$违规事件的调查得出结论，该事件的影响远远小于预期。根据最终的法医报告，Okta的首席安全官戴维·布拉德伯里（David Bradbury）表示，攻击者在控制了事件中心的第三方客户支持服务提供商Sitel的一名工程师使用的一个工作站后，才访问了两个活跃的客户租户。这种出人意料的有限影响源于2022年1月21日，威胁参与者仅连续25分钟控制了受损工作站的狭窄时间窗口。

来自32个国家的2000多名网络专家参加了锁定盾牌演习

在为期两天的年度实弹网络防御演习中，来自32个国家的2000多名参与者在大规模网络攻击的压力下练习保护国家IT系统和关键基础设施。除此之外，他们还参与了应对网络危机和战略决策的物理和战术决策团队。年度实时网络防御演习是网络捍卫者在严重网络攻击的压力下实践保护国家IT系统和关键基础设施的独特机会。北约认可的网络防御中心主任贾克·塔里安上校说，组织上锁的防护罩是CCDCOE的一项重大责任。

东欧国家保加利亚的国家邮政系统遭到网络攻击

近日，位于东欧地区的保加利亚邮政的计算机系统遭遇网络攻击，导致养老金与复活节津贴无法正常发放。保加利亚邮政曾保证付款操作不受影响，然而在普罗夫迪夫、鲁塞等城市，许多领取者仍然发现自己领不到养老金与假期津贴。本次黑客攻击被发现于上周六，保加利亚邮政立刻采取行动，将系统转移至该国云基础设施，并正在评估网络攻击对系统造成的具体影响。普罗夫迪夫中央邮局的工作人员拒绝了大量养老金领取申请，并解释称电脑系统已经无法工作。不过，受影响的仅有柜台业务，选择银行转账的用户仍可正常接收款项。保加利亚国家社会保障研究所也透露，各邮政分局的汇款未出现延误。没法及时拿到养老金，无疑给许多老年人的生活带来了意外打击。一些老年人来来回回跑了多家邮局，但等待他们的只有一次次失望。本次付款中断已经波及到保加利亚国内多家邮局。

开源的 Snort 入侵检测系统中存在高危漏洞

该漏洞的CVSS 评分为 7.5，位于 Snort 检测引擎的 Modbus 预处理器中，影响所有早于 2.9.19 之前的以及 3.1.11.0 版本的开源 Snort 项目。Snort 是一个开源的入侵检测系统和入侵防御系统，由思科维护，可提供实时网络流量分析，查找基于预定义规则的潜在恶意活动迹象。Claroty 公司的安全研究员 Uri Katz 上周发布报告称，“漏洞CVE-2022-20685 是一个整数溢出漏洞，可导致 Snort Modbus OT 预处理器进入while无限循环。成功利用可阻止 Snort 处理新的数据包并生成警报信息。”具体而言，该缺陷和 Snort处理 Modbus 数据包的方式有关，它可导致攻击者将特殊构造的数据包发送至受影响设备。Modbus 数据包是用于SCADA 网络中的工业数据通信协议。

年度加密漏洞提前锁定：Java JDK 加密实现漏洞可用于伪造凭据

该灾难性弱点影响 Java JDK 15及后续版本，已由 Oracle 在今天的关键补丁更新发布中修复。由于这些缺陷牵涉对使用广泛的 ECDSA 签名的实现，因此 Oracle Java 和 OpenJDK 均需更新。问题源自编程错误，而非底层加密技术出现问题。如不修复，缺陷可导致攻击者伪造某些SSL 证书类型和握手，从而导致中间操纵人攻击。安全研究员 Neil Madden 提醒称，如不修复该漏洞，则已签名的 JWTs、SAML 断言、WebAuthn 认证信息等可被轻易入侵。ForgeRock 公司的一名安全架构师 Wadden 指出，“这个漏洞的严重性不容忽视。如果你在这些安全机制中使用 ECDSA 签名，服务器运行的是2022年4月关键补丁更新之前发布的 Java 15、16、17或18，则攻击者可轻易并完全绕过签名。”

针对DVR设备的新BotenaGo恶意软件变种

近期，威胁分析人员发现了BotenaGo僵尸网络恶意软件的一种新变种，它是迄今为止最隐秘的变种，任何反病毒引擎都无法检测到它的运行。BotenaGo是一种相对较新的恶意软件，它是用Google的开源编程语言Golang编写。虽然该僵尸网络的源代码自2021年10月被泄露以来，已经公开了大约半年，但从那时起，已经出现了几个该恶意软件的变种，同时原始恶意软件则继续保持活跃，并添加了针对数百万物联网设备池的漏洞利用。最近Nozomi网络实验室的研究人员最近发现了一种新的BotenaGo变体，它似乎源自泄露的源代码。他们分析的样本针对Lilin安全摄像头DVR设备，这促使研究人员将其命名为“Lillin scanner”。

Phantun：一款功能强大的轻量级UDP转TCP混淆工具

Phantun是一款功能强大的轻量级UDP转TCP混淆工具，该工具可以将UDP数据包混淆成TCP连接，旨在以最小的处理和封装开销实现最大的性能。该工具通常用于UDP被阻止/限制但TCP被允许通过的环境。Phantun可以将UDP数据包流转换成经过模糊/混淆处理的TCP数据包流。Phantun使用的TCP堆栈可以通过大多数L3/L4有状态/无状态防火墙/NAT设备，但无法通过L7代理。Phantun工具采用了纯Rust开发，并且经过了大量的版本迭代和功能优化，可以在多核系统上进行快速扩展，并且消耗资源也非常少。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除

原文始发于微信公众号（汇能云安全）：微软Exchange服务器遭黑客攻击部署蜂巢勒索软件