Symantec发现Slug团伙使用新后门Daxin的攻击活动；佳能的子公司Axis遭到攻击导致部分系统暂时中断

1、Symantec发现Slug团伙使用新后门Daxin的攻击活动

      2月28日，Symantec发布一份报告详述了Slug团伙利用新后门Daxin的攻击活动。Daxin是一个Windows内核驱动程序，自2019年11月开始被用于攻击活动，研究人员在2021年11月观察到其最近一次攻击活动，针对电信、交通和制造行业。该后门具有窃取数据、执行命令或下载和安装其它恶意软件的功能；可以劫持合法的TCP/IP连接进行通信，以绕过检测；还能在目标中安装其它组件来增强内置功能，并使用名为\.Tcp4的设备为此类组件提供专用通信机制。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage

2、佳能的子公司Axis遭到攻击导致部分系统暂时中断

      据媒体2月28日报道，瑞典公司Axis Communications遭到网络攻击导致部分系统中断。Axis是佳能的子公司，2019年营业收入超过12.35亿美元。攻击发生于2021年2月20日，该公司立即对此事展开调查。调查于2月27日完成，结果显示没有服务器被加密，也没有客户信息受到影响，攻击者通过社工攻击控制了一名员工的账户，并在没有触发任何警报的情况下入侵了系统。目前，该公司的操作系统和应用程序仍处于离线状态，Camera Station许可系统也无法使用。

https://www.bleepingcomputer.com/news/security/axis-communications-shares-details-on-disruptive-cyberattack/

3、CISA发布涉及施耐德电气中多个漏洞的ICS安全通告

      CISA于2月24日发布了一则ICS安全通告，涉及施耐德电气Easergy中的多个漏洞。这些漏洞包括硬编码凭证使用漏洞（CVE-2022-22722）和缓冲区溢出漏洞（CVE-2022-22723和CVE-2022-22725）。通告称，成功利用这些漏洞可能会泄露设备凭据、导致DoS状态、设备重启或允许攻击者完全控制中继。施耐德电气在2022年1月11日推出的更新中修复了这些漏洞。

https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-03

4、伊朗UNC3313利用2个新后门攻击中东的某政府机构

      Mandiant在2月24日发布的报告披露了伊朗UNC3313使用的2个新后门的细节。研究人员在2021年11月检测到UNC3313针对中东某政府机构的攻击，并在调查过程中发现了新的恶意软件GRAMDOOR和STARWHALE。其中，STARWHALE是一个Windows脚本文件(.WSF)，执行从硬编码C2服务器接收到的命令；GRAMDOOR被部署为NSIS安装程序，并通过设置Windows Run注册表项实现持久性。

https://www.mandiant.com/resources/telegram-malware-iranian-espionage

5、加州律师协会State Bar的26万起案件记录泄露

      媒体2月28日报道称，加利福尼亚州律师协会State Bar约26万份非公开的案件记录被发布在Judyrecords.com。该聚合网站从多个法律机构数据库收集公开的法庭记录，汇集了超过6.3亿份记录。据悉，此次泄露事件源于案件管理系统中存在一个安全漏洞，导致Judyrecords在访问公共记录时无意中抓取到了非公开记录。目前，这些文件已被从网站中删除。

https://www.theregister.com/2022/02/28/ca_legal_leak/

6、Akamai发现新DDoS攻击模式可放大65倍

      3月1日，Akamai发布报告称检测到新DDoS攻击模式TCP Middlebox Reflection可放大65倍。此类攻击针对数据包检查和内容过滤设备，具有33字节payload的SYN数据包可触发2156字节的响应，放大了6533%。Akamai在针对银行、旅游、游戏、媒体和Web 托管服务提供商的活动中都检测到了此类攻击。研究人员认为，尽管目前此类攻击的规模尚小（峰值为11Gbps和1.5Mpps），但攻击者在进行微调后找到最佳反射模式只是时间问题。

https://www.akamai.com/blog/security/tcp-middlebox-reflection#.Yh41hIhUsH0.twitter

Katoolin3 

      可以将 Kali Linux 中可用的所有程序带到 Debian 和 Ubuntu。

https://github.com/s-h-3-l-l/katoolin3

openSquat 

      是一种开源情报 (OSINT) 安全工具，用于识别对特定公司或域的抢注威胁。

https://github.com/atenreiro/opensquat

CloudGraph

      是适用于 AWS、Azure、GCP 和 K8s 的免费开源通用 GraphQL API 和云安全状态管理 (CSPM) 工具。

https://github.com/cloudgraphdev/cli

Nimcrypt2

      用 Nim 编写的 .NET、PE 和原始 Shellcode 打包程序/加载程序。

https://github.com/icyguider/Nimcrypt2

moonwalk

      通过在系统日志和文件系统时间戳上清除痕迹，在 Linux 漏洞利用/渗透测试期间覆盖踪迹。

https://github.com/mufeedvh/moonwalk

乌克兰研究人员泄露勒索软件 Conti 的源代码

https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/

勒索软件 BlackCat 分析报告

https://cybersecurity.att.com/blogs/labs-research/blackcat-ransomware

Namecheap 终止为俄罗斯组织提供服务，要求他们转移域名

https://www.bleepingcomputer.com/news/technology/namecheap-terminates-services-for-russians-asks-them-to-move-domains/

微软：乌克兰在入侵前数小时就遭受了新的 FoxBlade 恶意软件攻击

https://securityaffairs.co/wordpress/128538/cyber-warfare-2/foxblade-malware-used-hours-before-invasion.html

CISA和FB警告针对乌克兰的数据擦除攻击可能会蔓延到其它国家

https://www.bleepingcomputer.com/news/security/cisa-and-fbi-warn-of-potential-data-wiping-attacks-spillover/

Emotet 的重生：僵尸网络的新功能及其检测方法

https://thehackernews.com/2022/02/reborn-of-emotet-new-features-of-botnet.html

推荐阅读：

因供应商遭到攻击，日本丰田汽车的14家工厂停产

乌克兰的多个官方组织再一次遭到大规模DDoS攻击