近日,明朝萬達安元實驗室發布了2022年第二期《安全通告》。該份報告收錄了2022年2月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
網絡安全前沿新聞
德國石油供應公司 Oiltanking 因網絡攻擊而癱瘓
OiltankingGmbH是一家為該國殼牌加油站提供服務的德國汽油經銷商,該公司已成為嚴重影響其運營的網絡攻擊的受害者。此外,此次襲擊還影響了石油供應商MabanaftGmbH。這兩個實體都是Marquard&Bahls集團的子公司,這可能是違規點。
與Memento勒索軟件相關的網絡間諜使用新的PowerShell惡意軟件
一個被追蹤為APT35(又名Phosphorus或CharmingKitten)的伊朗國家支持的黑客組織現在正在部署一個名為PowerLess并使用PowerShell開發的新后門。
根據CybereasonNocturnus團隊今天發布的一份報告,該威脅組織還使用以前未知的惡意軟件來部署其他模塊,包括信息竊取器和鍵盤記錄器。PowerLess后門具有加密的命令和控制通信通道,它允許在受感染的系統上執行命令并殺死正在運行的進程。它還通過在.NET應用程序的上下文中運行來逃避檢測,這允許它通過不啟動新的PowerShell實例來隱藏安全解決方案。
Office365增強了針對MITM、降級攻擊的電子郵件安全性
Microsoft已將SMTPMTA嚴格傳輸安全(MTA-STS)支持添加到ExchangeOnline,以確保Office365客戶的電子郵件通信完整性和安全性。
Redmond于2020年9月首次宣布推出MTA-STS,此前該公司透露它還在努力增加對DNSSEC(域名系統安全擴展)和DANE(基于DNS的命名實體身份驗證)的入站和出站支持。“我們一直在驗證我們的實施,現在很高興地宣布對來自ExchangeOnline的所有傳出郵件的MTA-STS支持,”ExchangeOnline傳輸團隊今天表示。
KPSnacks巨頭被Conti勒索軟件襲擊,交付中斷
KPSnacks是英國流行小吃的主要生產商,受到Conti勒索軟件組織的打擊,影響了向主要超市的分銷。
KenyonProduce(KP)Snacks包括流行品牌,如PopChips、Skip、HulaHoops、PennStatepretzels、McCoy's、WheatCrunchies等。KPSnacks擁有2,000多名員工,據估計,該公司的年收入超過6億美元,使其成為威脅參與者的有吸引力的目標。
蟲洞加密貨幣平臺被竊取3.26億美元
黑客利用蟲洞跨鏈加密平臺中的一個漏洞竊取了3.26億美元的加密貨幣。蟲洞是一個允許用戶跨不同區塊鏈轉移加密貨幣的平臺。它通過將原始代幣鎖定在智能合約中,然后鑄造一個可以轉移到另一個區塊鏈的存儲代幣的包裝版本來做到這一點。該平臺支持Avalanche、Oasis、BinanceSmartChain、Ethereum、Polygon、Solana和Terra區塊鏈。
MFA的采用推動網絡釣魚攻擊者采用反向代理解決方案
在線賬戶越來越多地采用多因素身份驗證(MFA),這促使網絡釣魚攻擊者使用更復雜的解決方案來繼續其惡意操作,尤其是反向代理工具。COVID-19大流行永遠改變了人們的工作方式,證明在家工作是可能的,有時甚至更可取。這增加了公司的安全風險,其中許多可以通過使用MFA來保護其員工的帳戶來緩解。
微軟去年阻止了數十億次暴力破解和網絡釣魚攻擊
Office365和AzureActiveDirectory(AzureAD)客戶是去年微軟成功阻止的數十億網絡釣魚電子郵件和暴力攻擊的目標。“從2021年1月到2021年12月,我們使用MicrosoftDefenderforOffice365阻止了超過256億次AzureAD暴力驗證攻擊,并攔截了357億封網絡釣魚電子郵件,”微軟負責安全、合規性和合規性的公司副總裁VasuJakkal說身份。Jakkal補充說,多因素身份驗證(MFA)和無密碼身份驗證將使威脅參與者更難強行進入目標的Microsoft帳戶。
Zimbra零日漏洞被積極利用來竊取電子郵件
跨站點腳本(XSS)Zimbra安全漏洞在針對歐洲媒體和政府組織的攻擊中被積極利用。Zimbra是一個電子郵件和協作平臺,還包括即時消息、聯系人、視頻會議、文件共享和云存儲功能。據Zimbra稱,來自140多個國家/地區的200,000多家企業正在使用其軟件,其中包括1,000多家政府和金融機構。
ArgoCD漏洞從Kubernetes應用程序中泄露敏感信息
ArgoCD中的一個漏洞被數千個組織用于將應用程序部署到Kubernetes,可在攻擊中利用該漏洞來泄露密碼和API密鑰等敏感信息。Apiiro的安全研究團隊發現了該路徑遍歷漏洞,編號為CVE-2022-24348,可導致權限升級、信息泄露和橫向移動攻擊。威脅者可以通過將惡意KubernetesHelmChartYAML文件加載到目標系統來利用該漏洞,從而允許從其他應用程序中提取敏感信息。
微軟:俄羅斯FSB黑客自10月以來襲擊烏克蘭
微軟表示,自2021年10月以來,一個名為Gamaredon的俄羅斯黑客組織一直在支持一系列針對烏克蘭實體和與烏克蘭事務相關的組織的魚叉式網絡釣魚電子郵件。通過烏克蘭的安全(SSU)和秘密(SBU)服務與該國的國內情報機構俄羅斯聯邦安全局(FSB)相關聯,該黑客組織也被追蹤為世界末日、原始熊和ACTINIUM。
微軟計劃通過Office宏阻止惡意軟件傳遞
微軟宣布,從4月初開始,將難以在多個MicrosoftOffice應用程序中啟用從Internet下載的VBA宏,從而有效地扼殺了一種流行的惡意軟件分發方法。使用嵌入在惡意Office文檔中的VBA宏是一種非常流行的方法,可以在網絡釣魚攻擊中推送各種惡意軟件系列,包括Emotet、TrickBot、Qbot和Dridex。
“這一變化只影響運行Windows的設備上的Office,并且只影響以下應用程序:Access、Excel、PowerPoint、Visio和Word,”微軟Office產品組今天表示。
Puma在Kronos勒索軟件攻擊后遭受數據泄露
運動服裝制造商Puma在2021年12月對其北美勞動力管理服務提供商之一的Kronos發起勒索軟件攻擊后,遭到數據泄露。本月早些時候向幾家司法部長辦公室提交的數據泄露通知稱,攻擊者還在加密數據之前從Kronos私有云(KPC)云環境中竊取了屬于Puma員工及其家屬的個人信息。
Qbot只需30分鐘即可竊取您的憑據、電子郵件
被稱為Qbot(又名Qakbot或QuakBot)的廣泛傳播的惡意軟件最近恢復了光速攻擊,據分析師稱,在最初感染后只需大約30分鐘即可竊取敏感數據。
根據DFIR報告的一份新報告,Qbot早在2021年10月就開始執行這些快速的數據抓取攻擊,現在看來,其背后的威脅參與者已經恢復了類似的策略。更具體地說,分析師報告說,攻擊者需要半小時才能從Outlook竊取瀏覽器數據和電子郵件,而他們需要50分鐘才能跳轉到相鄰的工作站。
谷歌幾乎將Linux內核翻倍,Kubernetes零日獎勵
谷歌表示,它通過使用獨特的利用技術為零日漏洞和漏洞利用增加更大的獎金,從而提高了對Linux內核、Kubernetes、谷歌Kubernetes引擎(GKE)或kCTF漏洞的報告的獎勵。
“我們增加了獎勵,因為我們認識到,為了吸引社區的注意力,我們需要將我們的獎勵與他們的期望相匹配,”EduardoVela解釋道。
“我們認為擴張是成功的,因此我們希望將其進一步延長至至少到今年年底(2022年)。”
