先进攻防情报精选-第1期

本期精选

• VMware ESXi大规模勒索攻击活动出现

• 微软分享针对APT组织NOBELIUM的事件响应过程

• portswigger发布2022年十大Web黑客技术

• GoAnywhere MFT软件出现在野0day攻击

• 未知黑客在Steam中测试Dota 2地图的V8引擎漏洞

• Apache官方修复了HackerOne白帽子报告的Kafka远程代码执行漏洞

  
  

VMware ESXi大规模勒索攻击活动出现

这次攻击涉及的是VMWare ESXi 的OpenSLP服务漏洞。

Vmware官方公告

https://blogs.vmware.com/security/2023/02/83330.html

去年juniper曾发现未打补丁的ESXi服务器被植入Python后门，疑似使用了OpenSLP服务漏洞的2个老漏洞CVE-2019-5544和CVE-2020-3992。

juniper报告

https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers

此次勒索攻击活动使用的漏洞疑似是CVE-2021-21974，ovh是最早的法国受害运营商

OVH公告

https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/

CVE-2021-21974漏洞的POC公开于2021年6月期间，而ET Labs在2023年2月3日专门更新了编号为2044114的IDS规则，可见相关漏洞在流量的入侵检测上未被太关注。

ET LABS更新日志

https://community.emergingthreats.net/t/ruleset-update-summary-2023-02-03-v10236/298

这次攻击者的加密脚本出了个有意思的BUG，为了加密文件的效率，攻击者计算文件大小进行了分块加密，通过均分的方式只加密一小块跳过多块文件，文件越大跳过的块越多，结果导致真正存储虚拟机数据的大文件只损坏了一小部分，可以被恢复。

原文始发于微信公众号（赛博攻防悟道）：先进攻防情报精选-第1期