每日头条
1、研究人员在多个目标系统上检测到漏洞利用工具IceApple
据媒体5月11日报道,CrowdStrike发现了一种新的漏洞利用工具IceApple。该恶意软件于2021年底首次被发现,目前仍在积极开发中。IceApple是攻击者在获得各种行业(技术、学术和政府)组织网络的初始访问权限后安装的,目前已在多个目标的Microsoft Exchange Server实例上检测到,但它也可以在IIS上运行。该恶意框架基于.NET,具有至少18个模块,每个模块用于特定任务,可用来发现网络上的相关设备、窃取凭据、删除文件和目录以及窃取有价值的数据。
https://www.bleepingcomputer.com/news/security/new-iceapple-exploit-toolset-deployed-on-microsoft-exchange-servers/
2、新的Nerbian RAT瞄准意大利和西班牙等欧洲国家
5月11日,Proofpoint披露了新Nerbian RAT的攻击活动的细节信息。攻击活动自4月26日开始,通过以COVID-19和和世界卫生组织为主题的钓鱼活动分发恶意软件,主要针对意大利、西班牙和英国的组织。Nerbian由Go语言编写,为64位系统编译,利用了多个加密过程绕过安全分析。Dropper还利用了开源Chacal的“反VM框架”来增加逆向工程的难度。据悉,Dropper和RAT都是由同一开发者开发的,但攻击者的身份仍然未知。
https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques
3、英国男子被指控入侵美国某金融机构损失超过500万美元
据5月11日报道,32岁的英国男子Idris Dayo Mustapha被指控入侵美国某金融机构,造成超过500万美元的损失。5月10日公开的投诉显示,该男子是某黑客团伙的一员,他们在2011年1月至2018年3月期间使用钓鱼等攻击方式获取用户凭据,以窃取网上银行账户和证券经纪账户中的资金。如果罪名成立,Mustapha将因电汇诈骗、证券诈骗和洗钱等指控面临长达20年的监禁。
https://www.infosecurity-magazine.com/news/british-charged-hacking-us-bank/
4、南非公司Dis-Chem遭到攻击泄露超过360万人的信息
媒体5月11日报道,南非最大的药品零售商之一Dis-Chem已泄露超过360万人的信息。据该公司称,此次事件是由其第三方服务提供商遭到网络攻击导致的,涉及客户的姓名、邮件地址和手机号码等信息。泄露发生在4月28日,在5月1日才被发现。近期,攻击者越来越多地针对南非的组织,2个月前,美国消费者信用报告机构TransUnion称其位于南非的服务器被入侵,泄露了5400万用户的信息。
https://www.itweb.co.za/content/PmxVE7KEABOqQY85
5、Cisco发布Bitter团伙攻击孟加拉政府某机构的报告
Cisco Talos在5月11日发布了关于APT组织Bitter攻击孟加拉国的分析报告。攻击活动开始自2021年8月,针对孟加拉内部的各种组织,具有两条感染链,均通过鱼叉式钓鱼活动进行。钓鱼邮件来自巴基斯坦的政府机构,这可能是利用邮件服务器Zimbra中的一个漏洞来实现。两条感染链之间的区别在于附加的恶意文件类型:一个是.RTF,另一个是.XLSX文档。RTF文档利用了漏洞CVE-2017-11882并在目标中远程执行代码,Excel文档触发了对CVE-2018-0798和CVE-2018-0802的漏洞利用。
https://blog.talosintelligence.com/2022/05/bitter-apt-adds-bangladesh-to-their.html
6、多国当局发布针对MSP及其客户的网络威胁的联合咨询
5月11日,澳大利亚、加拿大、新西兰、英国和美国的多个网络安全机构发布了针对托管服务提供商(MSP)及其客户的网络威胁的联合咨询。MSP已成为攻击者扩大攻击规模的途径,因为易受攻击的提供商可以被武器化并作为初始访问载体,以同时攻击多个下游客户。咨询中建议,识别和禁用不再使用的帐户;对访问客户环境的MSP账户实施MFA,并监测未解释的失败认证;确保MSP客户合同理解信息和通信技术(ICT)安全角色和责任的所有权。
https://thehackernews.com/2022/05/government-agencies-warned-of-increase.html
安全工具
arya
用来生成旨在触发YARA规则的伪恶意文件的工具。
https://github.com/claroty/arya
DDWPPasteRecon
该工具将帮助识别代码泄漏、敏感文件、明文密码和密码Hash。
https://github.com/Viralmaniar/DDWPasteRecon
Email prediction asterisks
是一个脚本,可用于识别隐藏在星号后面的电子邮件。
https://github.com/Quantika14/email-prediction-asterisks
安全分析
NVIDIA已开源其Linux GPU内核驱动程序
https://www.bleepingcomputer.com/news/linux/nvidia-has-open-sourced-its-linux-gpu-kernel-drivers/
微软:Windows 10 20H2已终止服务
https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-20h2-has-reached-end-of-service/
Windows 11 KB5013943更新导致0xc0000135应用程序错误
https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5013943-update-causes-0xc0000135-application-errors/
三名黑客因SSN欺诈和身份盗窃被判处多年监禁
https://therecord.media/hackers-sentenced-florida-georgia-identity-theft-tax-fraud/
勒索软件的演变如何影响威胁格局
https://blog.checkpoint.com/2022/05/11/how-the-evolution-of-ransomware-changed-the-threat-landscape/
英国网络安全中心NCSC已发送3300万条警报
https://www.bleepingcomputer.com/news/security/uk-cybersecurity-center-sent-33-million-alerts-to-companies/
关于LAPSUS$的攻击
https://thehackernews.com/2022/05/everything-we-learned-from-lapsus.html
推荐阅读:
N4ughtysecTU声称已窃取TransUnion非洲分部4TB的数据
原文始发于微信公众号(维他命安全):研究人员在多个目标系统上检测到漏洞利用工具IceApple;多国当局发布针对MSP及其客户的网络威胁的联合咨询
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论