当前位置: 首页 > 行业资讯 > 网络安全日报 2023年11月13日

网络安全日报 2023年11月13日

发表于:2023-11-13 08:05 作者: 蚁景网安实验室 阅读数(1918人)

1、攻击者利用SysAid中的漏洞部署Clop勒索软件

https://www.bleepingcomputer.com/news/security/microsoft-sysaid-zero-day-flaw-exploited-in-clop-ransomware-attacks/

SysAid是一款IT服务管理(ITSM)解决方案,为组织内管理各种IT服务提供了一套工具。研究人员发现,攻击者正在利用服务管理软件SysAid中的零日漏洞来访问企业服务器,进行数据窃取并部署Clop勒索软件。该漏洞于11月2日被发现,被标记为CVE-2023-47246,黑客利用该漏洞入侵SysAid服务器。研究人员确定该漏洞正在被Lace Tempest(又称Fin11和TA505)组织利用,用于部署Clop勒索软件。

2、攻击者创建CPU-Z仿冒网站传播RedLine窃密木马

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-deliver-infostealer

研究人员发现攻击者仿冒WindowsReport网站传播虚假的CPU-Z应用程序,并最终投递RedLine窃密木马。用户在该仿冒网站中点击下载后,将会下载到一个MSI安装文件,其中包含被称为FakeBat的恶意PowerShell脚本,该脚本会从指定URL处获取Redline窃密木马载荷并在受害者计算机中执行。

3、京瓷子公司KAVX遭受勒索软件攻击并泄露数据

https://www.bleepingcomputer.com/news/security/kyocera-avx-says-ransomware-attack-impacted-39-000-individuals/

京瓷子公司KAVX表示,其遭受的勒索软件攻击影响了39111名个体的个人信息,该公司正在向受影响者发送数据泄露通知。KAVX表示,他们于2023年10月10日发现黑客在2023年2月16日至3月30日期间访问了其系统,受影响服务器上的数据包括全球范围内的个人信息。KAVX表示没有证据表明网络罪犯滥用了窃取的数据,但提醒收信人有关身份盗窃和欺诈的相关风险,并敦促他们保持警惕。LockBit勒索软件团伙声称于2023年5月26日入侵了KAVX,当时将该公司添加到其数据泄漏站点。攻击者在其勒索网站上发布了多个窃取的数据样本,包括护照扫描件、财务文件、保密协议等。黑客为KAVX支付赎金设定的最后期限是2023年6月9日。

4、研究人员称Hive勒索团伙可能变更为Hunters International

https://www.hackread.com/hive-ransomware-hunters-international-bitdefender

研究人员称,Hive勒索团伙可能变更为Hunters International,以新的身份重新出现。研究人员表示,Hive团伙此前停止了攻击活动,并将其剩余资产转移到了Hunters International,并在这两组使用的代码之间发现了60%的匹配度。然而,Hunters International声称他们是在购买和更改Hive基础设施、源代码之后形成的独立团伙。Hunters International表示,Hive的所有源代码都已出售,包括网站和旧的Golang和C版本,他们购买了这些源代码,并且更偏向于数据泄露而不是数据加密。

5、研究人员发现新型恶意软件Effluence

https://www.aon.com/cyber-solutions/aon_cyber_labs/detecting-effluence-an-unauthenticated-confluence-web-shell/

研究人与近期发现了一种新型恶意软件,并将其命名为“Effluence”,该恶意软件利用了最近的Atlassian Confluence漏洞。该恶意软件会在受感染的主机中充当持久性后门,该后门提供了横向移动到其他网络资源以及从Confluence中窃取数据的功能。更重要的是,攻击者可以在未经身份验证的情况下远程访问后门,而无需对Confluence进行身份验证。

6、马来西亚警方查封BulletProftLink网络钓鱼服务平台

https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/

马来西亚皇家警察宣布,已经查封了BulletProftLink网络钓鱼服务(PhaaS)平台,该平台提供了300多个网络钓鱼模板。网络钓鱼服务平台通过“即插即用”的工具和模板、页面托管、定制选项、凭证收集和反向代理工具为网络犯罪分子提供工具和资源,以进行网络钓鱼攻击。截至2023年4月,BulletProftLink有8138名活跃用户,并提供了327个网络钓鱼页面模板。马来西亚警方、澳大利亚联邦警察和FBI成功拆除了平台,关闭了相关的多个域名,并于11月6日逮捕了8人。

7、Anonymous Sudan组织对Cloudflare网站进行DDoS攻击

https://securityaffairs.com/154002/hacktivism/anonymous-sudan-ddos-on-cloudflare.html

Cloudflare证实一次DDoS攻击导致其网站短暂宕机,并指出这并没有影响该公司的其他产品或服务。Anonymous Sudan组织声称对造成Cloudflare网站宕机的大规模分布式拒绝服务(DDoS)攻击负责。该组织在其Telegram频道中表示攻击持续了1小时。该组织声称最近的DDoS攻击是使用Skynet和Godzilla僵尸网络进行的。Skynet首次于2012年被发现,据估计,Skynet已经感染了全球超过100万台设备;Godzilla僵尸网络至少自2021年以来一直活跃,它被用于发动大规模的分布式拒绝服务(DDoS)攻击,以及窃取登录凭据和挖掘加密货币,据估计,Godzilla僵尸网络已经感染了全球超过10万台设备。

8、LockBit确认对工商银行美国子公司勒索攻击事件负责

https://www.freebuf.com/news/383568.html

2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了勒索软件攻击,导致部分系统中断。据安全研究平台VXunderground本周五透露,LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织。

9、阿里云遭突发全球性严重故障,历经 2.5 小时恢复

https://www.infoq.cn/article/K5JfjZy6Qmc70YFPluVi

11 月 12 日下午,陆续有网友表示阿里旗下多款产品出现访问故障,随后【阿里云全线产品崩了】登上微博实时热搜。据阿里云健康状态页(https://status.aliyun.com/#/)公告信息,本次故障为阿里云云产品控制台服务异常,开始于 2023-11-12 17:44。阿里云全线产品均受影响。

10、在线搬运平台Dolly.com支付赎金后信息仍被泄露

https://securityaffairs.com/153975/cyber-crime/dolly-com-pays-ransom.html

攻击者在黑客论坛中发布了有关Dolly.com的详细信息,该公司可能在8月底或9月初的某个时间遭受了攻击。攻击者与受害者之间的一封电子邮件日期为9月7日,其中显示Dolly.com同意支付赎金。攻击者获取了敏感的公司和客户数据,如高级账户登录详细信息、信用卡信息、客户地址、姓名、注册日期、用户电子邮件、系统数据等,攻击者表示他们可以访问完整的信用卡数据。攻击者称,Dolly.com确实支付了赎金,但数额不足以满足他们的要求,但攻击者仍接收了赎金并泄露了数据。该公司尚未针对此次事件进行回应。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。