六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第156期

2021年06月28日 10:25

一、业界动态

新勒索软件DarkRadiation主要针对Linux和Docker容器

研究团队发现新勒索软件DarkRadiation完全是用Bash编写的,主要针对Linux和Docker容器。该恶意软件在5月下旬首次被Twitter用户@r3dbU7z注意到,目前并没有其分发方法或在野攻击的相关信息,但研究人员称其目标是Red Hat/CentOS和Debian Linux发行版。该勒索软件使用了一组复杂的Bash脚本和至少6个c2(它们目前都处于离线状态),通过硬编码的API密钥与Telegram机器人通信,还使用了OpenSSL的AES算法和CBC模式来加密各种目录中的文件。

https://www.sentinelone.com/blog/darkradiation-abusing-bash-for-linux-and-docker-container-ransomware/

Avast称僵尸网络DirtyMoe已感染10万多个Windows系统

Avast的研究人员称僵尸网络DirtyMoe已感染10万多个Windows系统。该僵尸网络自2017年末开始活跃,主要用于挖掘加密货币。DirtyMoe rootkit是通过垃圾邮件分发的,或者由托管了PurpleFox攻击工具包的恶意网站分发。2020年底,DirtyMoe的开发者为其添加了一个蠕虫模块,该模块扫描互联网并对开启了SMB端口的Windows系统执行暴力攻击,这使得感染率增加了几个数量级。其中,俄罗斯、乌克兰、越南和巴西等地受影响最严重。

https://securityaffairs.co/wordpress/119230/malware/dirtymoe-botnet-growing.html

研究团队在PyPI存储库发现多个用于挖矿的恶意软件包

研究团队在Python项目的PyPI库中发现了6个恶意软件包,可以将开发人员的计算机变成矿机。所有恶意软件包均由同一用户“nedog123”发布,分别为maratlib、maratlib1、matplatlib-plus、mllearnlib、mplatlib和learninglib,其中大部分的名称都是合法绘图软件matplotlib的拼写错误版本,黑客通过这种方式来欺骗开发人员下载。研究人员称恶意代码都在setup.py文件中,它会在GitHub存储库下载Bash脚本(aza2.sh),该脚本的作用是在目标机器上运行的加密矿工Ubqminer。

https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-hijack-dev-devices-to-mine-cryptocurrency/

 

二、关键基础设施

比利时第三大城市Liege称其遭到Ryuk勒索软件攻击

比利时第三大城市Liege称其遭到Ryuk勒索软件攻击,IT网络和在线服务遭到破坏。攻击发生于6月22日,该市官员称大部分市民服务均已中断,例如市政厅、出生登记、婚礼和丧葬服务的预约都被取消了,此外,活动许可和付费停车的网上申请表也减少了。虽然官方仅将此次事件描述为计算机攻击,但比利时的两家广播电台和电视台报道称,此次攻击是Ryuk勒索软件团伙所为。

https://therecord.media/city-of-liege-belgium-hit-by-ransomware/

列车控制系统 (CBTC) 面临的七类网络安全威胁

公共交通运营商正在利用更多的数字技术来提高运营效率。基于通信的列车控制系统(CBTC)是该战略的一个关键要素,使用移动闭塞原理来减少间隔,从而大幅提高地铁网络容量。随着现场连接部件的减少和运输流量优化软件,新一代CBTC不仅增加了运输可用性和准点率,而且降低了维护和运营成本。其中许多优势是通过系统互操作性和使用 IoT 技术实现的。然而,这种更高的效率是有代价的,CBTC 系统不再与外部世界隔绝,其攻击面正在扩大。因此,它们正成为外部网络攻击更容易访问的目标,也更容易向其他业务系统输出风险。

https://www.secrss.com/articles/32156

 

三、安全事件

巴西最大医疗公司Grupo Fleury感染勒索软件REvil

巴西Grupo Fleury公司感染勒索软件REvil,系统暂时无法访问。Grupo Fleury是巴西最大的医疗诊断公司,拥有200多个服务中心和10000多名员工。6月22日,该公司官网显示系统关闭,导致业务运营中断,患者无法在线预约实验室检测或其他临床检查。Grupo Fleury尚未正式确认其遭到了勒索软件攻击,但当地媒体已确认此为REvil勒索软件攻击,并且赎金要求为500万美元。

https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by-revil-ransomware-attack/

研究人员发现针对南亚和中亚的政府和能源组织的攻击

Lumen的研究人员发现针对南亚和中亚地区的政府和能源组织的攻击活动。此次攻击至少在2021年1月开始,主要针对政府、电力调度和电厂等组织,受害者主要分布在印度,其次为阿富汗。在此次攻击中,黑客使用了新的远程访问木马ReverseRat,并且使用了两个感染媒介:一个驻留在内存中,另一个是side-loaded,使攻击者可以在目标中保持持久性。

https://thehackernews.com/2021/06/pakistan-linked-hackers-targeted-indian.html

威刚拒绝支付赎金,Ragnar Locker转头公布700GB数据

6月21日消息,因威刚拒绝支付赎金,勒索团伙Ragnar Locker已经将700多GB的威刚数据公布在网上。这些数据是以13个受密码保护的档案形式上传的。Ragnar Locker在存储平台MEGA上发布了元数据档案,最大的文档接近300GB。从档案名称来看,可能包含财务信息、保密协议等类型的详细信息。该组织还发布了几张截图证明其持有的威刚数据。

https://www.freebuf.com/news/276851.html

 

四、漏洞事件

Zephyr实时操作系统(RTOS)安全更新,修复多个漏洞

Zephyr实时操作系统(RTOS)安全更新,修复了8个可能导致拒绝服务 (DoS) 和远程代码执行的漏洞。Zephyr是小型的实时操作系统,用于资源受限的嵌入式互联设备,得到了Facebook、谷歌、Intel等知名公司的支持,支持200多种不同CPU架构(ARM、Cortex-M和Intel x86等)。此次修复的漏洞存在于Zephyr的蓝牙LE链路层 (LL) 及其逻辑链路控制和适配协议 (L2CAP) 中,其中较为严重的是信息泄露漏洞(CVE-2021-3435)和DoS漏洞(CVE-2021-3455)。

https://www.bleepingcomputer.com/news/security/zephyr-rtos-fixes-bluetooth-bugs-that-may-lead-to-code-execution/

研究人员披露Lexmark打印机中存在任意代码执行0day

研究人员披露利盟(Lexmark)打印机中存在任意代码执行0day。该漏洞存在于Lexmark打印机软件G2安装包中,是由LM__bdsvc服务中的一个未加引号的服务路径漏洞导致的,其CVSSv3基本评分为8.4。研究人员称,攻击者可以利用一个特制的可执行文件来利用该漏洞,在目标系统上执行任意代码。目前该漏洞尚未修复,也没有任何可用的缓解措施。

https://threatpost.com/lexmark-printers-code-execution-zero-day/167111/

BIOS系统可被远程攻击,3000万台戴尔设备面临重大风险

安全研究人员披露了一系列戴尔终端BIOS系统中BIOSConnect功能所存在的漏洞,高权限攻击者可以利用这些漏洞,在目标设备的BIOS/UEFI上获得执行任意代码的能力。

https://www.secrss.com/articles/32138

 

 


more

手机扫码打开

logo