BlackCat勒索团伙(ALPHV)将医疗公司Henry Schein添加到其数据泄露网站的受害者名单中,声称他们侵入了该公司的网络,并窃取了35TB的敏感文件,包括工资数据和股东信息。该团伙称,由于谈判未能成功,正当Henry Schein几乎完成了所有系统的恢复工作时,他们再次加密了公司的设备。BlackCat勒索团伙在其数据泄露网站上删除了有关Henry Schein的条目,这表明该公司可能重新开始与勒索团伙进行谈判。
HelloKitty勒索软件正在利用Apache ActiveMQ远程代码执行(RCE)漏洞来侵入网络并进行勒索攻击。该漏洞被标记为CVE-2023-46604,是一个高危(CVSS v3评分:10.0)的RCE漏洞,允许攻击者通过利用OpenWire协议中的序列化类类型执行任意shell命令。该漏洞在2023年10月25日的安全更新中得到解决,但研究人员于10月27日发现攻击者正在利用该漏洞在目标环境中部署HelloKitty勒索软件。
https://therecord.media/queretaro-international-airport-mexico-cyberattack
墨西哥克雷塔罗国际机场证实遭受网络攻击,表示此次攻击可追溯到一名员工下载的包含恶意软件的文件,并称机场的运营安全没有受到损害,应急小组已经控制并隔离了这次攻击,而且已经与相关机构进行联系。LockBit勒索团伙宣称对此次事件负责,并威胁将在11月27日泄露数据。
https://www.securityweek.com/cisco-patches-27-vulnerabilities-in-network-security-products/
思科发布了一系列软件更新,以解决自适应安全设备(ASA)、Firepower管理中心(FMC)和Firepower威胁防御(FTD)产品中的27个安全漏洞。其中最严重的漏洞是CVE-2023-20048(CVSS评分为9.9),这是FMC中的一个命令注入漏洞,由Web服务接口发送的配置命令的授权不足而引起。其中的8个中危漏洞可能导致拒绝服务、任意文件下载、SAML声明劫持、跨站脚本(XSS)攻击、策略绕过、检测引擎绕过、证书验证绕过和地理位置过滤绕过。目前思科尚未发现有攻击活动利用了这些漏洞。
美国飞行员协会(APA)披露了发生在其系统中的勒索软件攻击事件。该工会在一份声明中表示,10月30日该工会经历了一起网络安全事件。尽管调查仍在进行中,但已经确定了这次事件是由于勒索软件引起的,某些系统已被加密。APA尚未透露在攻击中是否泄漏了飞行员的个人信息或受影响的个人数量。
https://securelist.com/spyware-whatsapp-mod/110984/
研究人员在WhatsApp的修改版本中发现恶意组件。篡改的客户端清单包含了在原始WhatsApp客户端中找不到的可疑组件(一个服务和一个广播接收器)。广播接收器用以监听系统和其他应用程序的广播消息,例如手机开始充电、收到短信或下载器完成下载等。当接收器收到这样的消息时,它调用事件处理程序。在WhatsApp间谍修改版本中,接收器运行一个服务,当手机开机或开始充电时启动间谍模块。该服务会查看恶意软件代码中的Application_DM常量,以选择受感染设备将连接的命令和控制(C&C)服务器。当恶意代码执行时,它会向攻击者的服务器发送包含与设备信息相关的POST请求,这些信息包括IMEI、电话号码、国家及地区代码、移动网络代码等。该木马还请求配置详细信息,例如上传各种类型数据的路径、向C&C发出请求之间的间隔等。此外,该模块会每五分钟传输一次有关受害者联系人和帐户的信息。
Microsoft Exchange受到四个零日漏洞的影响,攻击者可以远程利用这些漏洞来执行任意代码或泄露敏感信息。研究人员向微软报告了这些漏洞,尽管微软证实了这些漏洞,但其安全工程师认为这些漏洞不足以立即提供服务,因此推迟了修复。所有这些漏洞都需要进行身份验证才能被利用,这导致这些漏洞的CVSS评分可能介于7.1和7.5之间。此外,需要身份验证才能进行漏洞利用可能是微软没有选择立即修复漏洞的原因。然而,需要注意的是,攻击者有许多方法可以获取Exchange凭据,包括暴力破解弱密码、进行钓鱼攻击、购买凭据,或从信息窃取日志中获取凭据,因此研究人员认为这些漏洞需要被立即修复。2023年11月4日,一位微软发言人称他们已经对相关漏洞进行了审核,发现它们要么已经得到了解决,要么不符合严重性分类准则的立即提供服务的标准,并表示微软将在未来的产品版本和更新中对这些问题进行评估。
https://therecord.media/singapore-public-health-services-ddos-attack
一家监督新加坡公共卫生机构的健康技术机构Synapxe表示,黑客通过分布式拒绝服务(DDoS)攻击中断了新加坡公共卫生保健机构的互联网连接。新加坡所有公共卫生保健集群的互联网连接中断始于周三,持续约七个小时。在此期间,员工无法访问网站、电子邮件和生产工具等服务。DDoS攻击通过向网站发送垃圾互联网流量来阻止合法用户访问它们,该机构表示,目前没有证据表明公共卫生保健或患者数据以及内部网络已经遭受了侵犯。根据该机构的说法,对新加坡卫生保健机构的DDoS攻击仍在持续,可能会出现偶发的互联网服务中断。目前尚不清楚谁是这些攻击的幕后黑手。
https://thehackernews.com/2023/11/first-announces-cvss-40-new.html
近日,事故响应与安全团队论坛(FIRST)正式发布了通用漏洞评分系统标准CVSS v4.0,这个全新版本距离上一版 CVSS v3.0 已经过去了八年。
https://securityaffairs.com/153622/hacking/lazarus-kandykorn-malware.html
Lazarus 组织正在使用新的 KandyKorn macOS 恶意软件来攻击区块链工程师。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。