六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第188期

2022年02月28日 09:57

一、业界动态

美国CISA发布2022年免费网络安全工具和服务清单

美国CISA编制并发布了2022年免费网络安全工具和服务清单,旨在帮助组织能够有效缓解、检测和响应恶意攻击。该清单的资源中心包含CISA提供的101项服务、开源程序以及其它组织提供的工具。此外,该机构还推出了专门的网站,用来记录已被利用的漏洞、“异常危险”的安全程序、抵御勒索软件的指南以及其它威胁。

https://www.cisa.gov/uscert/ncas/current-activity/2022/02/18/cisa-compiles-free-cybersecurity-services-and-tools-network

Conti团伙计划用BazarBackdoor来取代TrickBot

Advanced Intelligence发现,2021年Conti已成为TrickBot的唯一受益者。TrickBot自2016年开始活跃,在经过无数次关闭尝试后,其高级成员已转移到勒索组织Conti。由于TrickBot木马容易被检测到,TrickBot的核心团队开发了更隐秘的BazarBackdoor,用于实现对公司网络的远程访问。Conti的管理员表示他们正在从使用TrickBot转移到使用BazarBackdoor。

https://www.bleepingcomputer.com/news/security/conti-ransomware-gang-takes-over-trickbot-malware-operation/

美前国务卿希拉里怂恿美黑客对俄罗斯发动网络攻击

2月25日前美国国务卿希拉里·克林顿在接受MSNBC的采访时呼吁美国黑客对俄罗斯发动网络攻击。她说:“我们可以通过网络攻击,攻击很多政府机构寡头。我们在‘阿拉伯之春’期间做了一些这样的事,我们应该在网上尽一切努力复制这种情况。”

https://new.qq.com/omn/20220227/20220227A01W9600.html

乌克兰征召“地下黑客志愿者”

据路透社消息,据知情人士说,乌克兰政府正在请求该国的地下黑客志愿者帮助保护关键基础设施,并执行针对俄罗斯军队的网络间谍任务。

https://mil.news.sina.com.cn/2022-02-25/doc-imcwiwss2885651.shtml

 

二、关键基础设施

物流公司Expeditors遭到勒索攻击导致全球业务中断

据媒体2月21日报道,西雅图的物流公司Expeditors International遭到攻击导致全球大部分业务关闭。Expeditors的年收入约为100亿美元,在全球拥有350个办事地点和18000多名员工。攻击发生在上周日上午9:20,该公司发布声明称其已关闭了大部分操作系统,并正在从备份中恢复系统,没有估计何时可恢复运营。该公司没有提及网络攻击的类型,研究人员推断是一起大规模勒索攻击。

https://www.bleepingcomputer.com/news/security/expeditors-shuts-down-global-operations-after-likely-ransomware-attack/

乌克兰的多个官方组织再一次遭到大规模DDoS攻击

据媒体2月23日称,乌克兰的多个官方组织再次遭到大规模DDoS攻击。此次受到攻击的组织包括乌克兰外交部、国防部、内政部、安全局和内阁,以及乌克兰最大的银行Privatbank和国家储蓄银行Oschadbank。乌克兰SSSCIP表示,攻击活动导致部分系统不可用或只能断断续续地工作,他们正在努力应对攻击并收集分析信息。上周,乌克兰的多个政府机构和银行曾遭到DDoS攻击。

https://www.bleepingcomputer.com/news/security/ukrainian-government-and-banks-once-again-hit-by-ddos-attacks/

  

三、安全事件

研究团队公开NSA Equation Group的后门Bvp47的细节

研究团队公开了Linux后门Bvp47的技术细节。该后门于2013年底首次被检测到,与NSA Equation Group有关联,因多次使用字符串“Bvp”和加密算法中的数值“0x47”而被称为“Bvp47”。据悉,Bvp47已被用于攻击中国、韩国、日本、德国、西班牙、印度和墨西哥等45个国家的学术、经济、军事、科学和电信等行业的287个目标。此外,它还具有复杂的代码、分段加解密、Linux多版本平台适配、丰富的rootkit反跟踪技术,并集成了高级BPF引擎以及繁琐的通信加解密过程。

https://securityaffairs.co/wordpress/128322/apt/equation-group-bvp47-backdoor.html

CheckPoint发布对伊朗广播公司IRIB攻击的分析报告

CheckPoint发布了针对伊朗国家广播公司IRIB的攻击的分析报告。攻击发生在1月27日,当时该国的多个电视频道播放了攻击者选定的视频。攻击者主要使用了4种后门策略:WinScreeny、HttpCallbackService、HttpService和ServerLaunch。伊朗认为这与去年7月攻击了伊朗国家交通网络的团伙Indra有关,但CheckPoint认为此次攻击的背后仅是一个模仿者,且他们使用的工具质量和复杂度相对较低。

https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/

ESET发现新的HermeticWiper针对乌克兰的攻击活动

安全公司ESET发现了针对乌克兰的新数据擦除恶意软件HermeticWiper(又名KillDisk.NCV)。该样本编译于2021年12月28日,随着俄罗斯的军事行动攻击了乌克兰大量IT基础设施。HermeticWiper是使用颁发给Hermetica Digital Ltd的证书进行签名的,利用软件EaseUS Partition Master中的合法驱动程序来破坏数据,然后重新启动计算机。

https://thehackernews.com/2022/02/new-wiper-malware-targeting-ukraine.html

  

四、漏洞事件

WordPress UpdraftPlus任意文件下载CVE-2022-0633

据媒体2月19日报道,WordPress的插件UpdraftPlus中存在任意文件下载漏洞(CVE-2022-0633)。低权限用户可利用其来下载网站的最新备份,成功利用后,攻击者可访问目标网站数据库中的特权信息,如用户名和密码。该漏洞存在于UpdraftPlus版本1.16.7至1.22.2中,目前,WordPress已在300多万个受影响的网站中强制安装了UpdraftPlus补丁。

https://securityaffairs.co/wordpress/128170/hacking/updraftplus-forced-update.html

SonarSource发现Horde Webmail中存在9年的XSS漏洞

SonarSource在2月22日披露了Horde Webmail中自2012年底一直存在的XSS漏洞的细节。研究人员称,攻击者可以通过恶意OpenOffice文档利用该漏洞,当Horde将其转换为XHTML预览时,就会执行该文档中的恶意JavaScript,从而导致存储型XSS攻击。因此,该漏洞可用来劫持用户的邮件帐户,甚至是控制整个邮件服务器。最后,研究人员还提供了有关如何缓解此漏洞的建议。

https://therecord.media/unpatched-bug-allows-takeover-of-horde-webmail-accounts-servers/

 

 

 


more

手机扫码打开

logo