黑客利用Fortinet漏洞進行勒索軟件攻擊

有研究人員提出警告，F(xiàn)ortinet于去年10月修補的重大漏洞CVE-2022-40684，已經(jīng)成為黑客大肆利用的對象！其中，他們偵測到兩起勒索軟件攻擊，黑客便是針對存在相關漏洞的Fortinet設備下手，入侵目標組織網(wǎng)絡環(huán)境來加密文件。

以往的披露UEFI固件漏洞都是出現(xiàn)在x86計算機上，但采用其他處理器的計算機也可能出現(xiàn)類似漏洞！有研究人員向高通（Qualcomm）通報數(shù)個UEFI漏洞，并指出這應該是首度披露的Arm計算機UEFI漏洞。

在烏克蘭戰(zhàn)爭尚未結束、美國注資烏克蘭相關軍事資源的情況下，俄羅斯黑客也將一些敏感的研究機構列為攻擊目標。有新聞媒體披露，俄羅斯黑客Cold River疑似針對美國的核子實驗室的科學家發(fā)動釣魚攻擊。

安全企業(yè)eSentire提出警告， 他們在2022年11月下旬的兩起勒索軟件攻擊事件，發(fā)現(xiàn)黑客鎖定未修補重大漏洞

CVE-2022-40684的Forinet SSL VPN設備而來，目前已在加拿大的大學與跨國投資公司發(fā)現(xiàn)這樣的活動。

研究人員表示，黑客一旦成功進入目標組織的網(wǎng)絡環(huán)境，就會發(fā)動寄生攻擊（LOLBin），并濫用遠程桌面協(xié)議（RDP）來橫向移動，最終利用BitLocker與BestCrypt來加密文件，并要求受害組織通過電子郵件向他們聯(lián)系。而這些黑客的身份，研究人員指出，他們先前曾用名為KalajaTomorr的勒索軟件發(fā)動攻擊。

根據(jù)路透社的報道，俄羅斯黑客組織Cold River自去年夏天起，持續(xù)鎖定美國3座核子研究實驗室，分別為Brookhaven（BNL）、Argonne（ANL）、Lawrence Livermore National Laboratories（LLNL），黑客為上述機構創(chuàng)建偽造的登錄網(wǎng)頁，然后向科學家發(fā)送釣魚郵件，意圖借此得知他們的帳密資訊。

路透社表示，他們無法確定黑客攻擊的目的，也無法確認是否成功入侵。對此，BNL拒絕回應，LLNL沒有回復，ANL則表示由美國能源部進行說明，但后者不愿發(fā)布看法。

安全企業(yè)賽門鐵克披露黑客組織Blubottle的攻擊行動，主要鎖定使用法語的非洲國家銀行而來，但阿根廷、巴拉圭、孟加拉也有受害組織。黑客自2022年7月至9月，使用惡意程序加載工具GuLoader及帶有簽章的驅動程序發(fā)動攻擊，先是利用ISO鏡像文件傳播上述文件，一旦入侵成功，黑客便將GuLoader注入Internet Explorer附加組件安裝工具（ieinstal.exe）、ASP.NET瀏覽器注冊程序（ieinstal.exe）來執(zhí)行，進而部署Netwire、Quasar等RAT木馬程序。

研究人員指出，這些黑客攻擊手法大部分與Group-IB披露的黑客組織Opera1er雷同，但無法確定是否為相同的組織。

1月4日持續(xù)開發(fā)／持續(xù)交付（CI/CD）平臺企業(yè)CircleCI發(fā)布安全通報，表示該公司著手調(diào)查安全事件，并強調(diào)公司系統(tǒng)無未經(jīng)授權的攻擊者行動跡象，但為了慎重起見，他們要求所有用戶采取預防措施，包括立即輪換存儲在CircleCI賬號的所有密鑰，并于完成后檢查2022年12月21日至2023年1月4日的系統(tǒng)日志，確認是否出現(xiàn)未經(jīng)授權的訪問。

在要求用戶檢查系統(tǒng)是否曾有未經(jīng)授權訪問的同時，CircleCI公司也廢止項目API權限，用戶需要更換這些token，才能繼續(xù)使用相關服務。

本次安全通報選在美東晚間9時30分發(fā)出，已是多數(shù)人下班時間。對此，該公司表示他們的用戶遍布全球，只能盡快通知所有的客戶采取行動。

安全企業(yè)Minerva披露名為CatB的勒索軟件，研究人員看到該勒索軟件于11月23日上傳到惡意軟件分析平臺VirusTotal，社群認為可能是勒索軟件Pandora的變種。研究人員對CatB進行分析，發(fā)現(xiàn)該勒索軟件會先檢測處理器核心數(shù)量、內(nèi)存大小、存儲空間，來判斷是否在沙箱環(huán)境執(zhí)行，一旦確認是在真實的計算機環(huán)境，該勒索軟件的引導程序就會通過DLL挾持手法，將其酬載投放于System32系統(tǒng)文件夾，并篡改MSDTC系統(tǒng)服務的配置，來維持此勒索軟件于受害計算機運行，完成后便開始加密受害計算機的文件。

與許多勒索軟件不同的是，CatB不會變動計算機文件的文件擴展名，并將勒索消息寫在每個文件內(nèi)容的最前面，使得受害者直到發(fā)現(xiàn)文件無法使用才發(fā)現(xiàn)遭到攻擊。

根據(jù)安全新聞網(wǎng)站HackRead報道，安全研究人員Anurag Sen通過物聯(lián)網(wǎng)搜索引擎Shodan，發(fā)現(xiàn)美國ERP企業(yè)所有的Elasticsearch服務器不需帳密就能訪問，該服務器約自去年12月下旬開始暴露于網(wǎng)際網(wǎng)絡，其中包含印度求職者詳細資料，文件大小超過6.3 GB，資料數(shù)量超過57.5萬筆，內(nèi)有求職者姓名、出生日期、電子郵件信箱、電話號碼、履歷、雇主資料。研究人員已向印度計算機緊急應變小組（CERT-in）通報此事。

高通于1月5日發(fā)布安全通報，修補約20個漏洞，其中有5個是安全企業(yè)Binarly通報。該公司的研究人員向安全新聞網(wǎng)站SecurityWeeks透露，這些漏洞他們最初是在分析搭載高通處理器的聯(lián)想ThinkPad X13s發(fā)現(xiàn)，當時一共找到9個漏洞，但發(fā)現(xiàn)其中5個與高通的參考程序代碼有關，這意味著可能會影響所有采用高通SoC的筆記本，包括微軟Surface，以及三星的設備。

研究人員指出，這5個漏洞是首度在Arm架構計算機發(fā)現(xiàn)的UEFI漏洞，其中CVE-2022-40516、CVE-2022-40517、CVE-2022-40520為內(nèi)存堆棧的緩沖區(qū)溢出漏洞，CVSS風險層級皆為8.2分；CVE-2022-40518、CVE-2022-40519則是出現(xiàn)在DXE驅動程序，一旦遭利用可能導致內(nèi)存泄露，為中等風險層級的漏洞，CVSS評分為4.9分、6.0分。

文章轉載自十輪網(wǎng)