近日,明朝万达安元实验室发布了2022年第二期《安全通告》。该份报告收录了2022年2月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
德国石油供应公司 Oiltanking 因网络攻击而瘫痪
OiltankingGmbH是一家为该国壳牌加油站提供服务的德国汽油经销商,该公司已成为严重影响其运营的网络攻击的受害者。此外,此次袭击还影响了石油供应商MabanaftGmbH。这两个实体都是Marquard&Bahls集团的子公司,这可能是违规点。
与Memento勒索软件相关的网络间谍使用新的PowerShell恶意软件
一个被追踪为APT35(又名Phosphorus或CharmingKitten)的伊朗国家支持的黑客组织现在正在部署一个名为PowerLess并使用PowerShell开发的新后门。
根据CybereasonNocturnus团队今天发布的一份报告,该威胁组织还使用以前未知的恶意软件来部署其他模块,包括信息窃取器和键盘记录器。PowerLess后门具有加密的命令和控制通信通道,它允许在受感染的系统上执行命令并杀死正在运行的进程。它还通过在.NET应用程序的上下文中运行来逃避检测,这允许它通过不启动新的PowerShell实例来隐藏安全解决方案。
Office365增强了针对MITM、降级攻击的电子邮件安全性
Microsoft已将SMTPMTA严格传输安全(MTA-STS)支持添加到ExchangeOnline,以确保Office365客户的电子邮件通信完整性和安全性。
Redmond于2020年9月首次宣布推出MTA-STS,此前该公司透露它还在努力增加对DNSSEC(域名系统安全扩展)和DANE(基于DNS的命名实体身份验证)的入站和出站支持。“我们一直在验证我们的实施,现在很高兴地宣布对来自ExchangeOnline的所有传出邮件的MTA-STS支持,”ExchangeOnline传输团队今天表示。
KPSnacks巨头被Conti勒索软件袭击,交付中断
KPSnacks是英国流行小吃的主要生产商,受到Conti勒索软件组织的打击,影响了向主要超市的分销。
KenyonProduce(KP)Snacks包括流行品牌,如PopChips、Skip、HulaHoops、PennStatepretzels、McCoy's、WheatCrunchies等。KPSnacks拥有2,000多名员工,据估计,该公司的年收入超过6亿美元,使其成为威胁参与者的有吸引力的目标。
虫洞加密货币平台被窃取3.26亿美元
黑客利用虫洞跨链加密平台中的一个漏洞窃取了3.26亿美元的加密货币。虫洞是一个允许用户跨不同区块链转移加密货币的平台。它通过将原始代币锁定在智能合约中,然后铸造一个可以转移到另一个区块链的存储代币的包装版本来做到这一点。该平台支持Avalanche、Oasis、BinanceSmartChain、Ethereum、Polygon、Solana和Terra区块链。
MFA的采用推动网络钓鱼攻击者采用反向代理解决方案
在线账户越来越多地采用多因素身份验证(MFA),这促使网络钓鱼攻击者使用更复杂的解决方案来继续其恶意操作,尤其是反向代理工具。COVID-19大流行永远改变了人们的工作方式,证明在家工作是可能的,有时甚至更可取。这增加了公司的安全风险,其中许多可以通过使用MFA来保护其员工的帐户来缓解。
微软去年阻止了数十亿次暴力破解和网络钓鱼攻击
Office365和AzureActiveDirectory(AzureAD)客户是去年微软成功阻止的数十亿网络钓鱼电子邮件和暴力攻击的目标。“从2021年1月到2021年12月,我们使用MicrosoftDefenderforOffice365阻止了超过256亿次AzureAD暴力验证攻击,并拦截了357亿封网络钓鱼电子邮件,”微软负责安全、合规性和合规性的公司副总裁VasuJakkal说身份。Jakkal补充说,多因素身份验证(MFA)和无密码身份验证将使威胁参与者更难强行进入目标的Microsoft帐户。
Zimbra零日漏洞被积极利用来窃取电子邮件
跨站点脚本(XSS)Zimbra安全漏洞在针对欧洲媒体和政府组织的攻击中被积极利用。Zimbra是一个电子邮件和协作平台,还包括即时消息、联系人、视频会议、文件共享和云存储功能。据Zimbra称,来自140多个国家/地区的200,000多家企业正在使用其软件,其中包括1,000多家政府和金融机构。
ArgoCD漏洞从Kubernetes应用程序中泄露敏感信息
ArgoCD中的一个漏洞被数千个组织用于将应用程序部署到Kubernetes,可在攻击中利用该漏洞来泄露密码和API密钥等敏感信息。Apiiro的安全研究团队发现了该路径遍历漏洞,编号为CVE-2022-24348,可导致权限升级、信息泄露和横向移动攻击。威胁者可以通过将恶意KubernetesHelmChartYAML文件加载到目标系统来利用该漏洞,从而允许从其他应用程序中提取敏感信息。
微软:俄罗斯FSB黑客自10月以来袭击乌克兰
微软表示,自2021年10月以来,一个名为Gamaredon的俄罗斯黑客组织一直在支持一系列针对乌克兰实体和与乌克兰事务相关的组织的鱼叉式网络钓鱼电子邮件。通过乌克兰的安全(SSU)和秘密(SBU)服务与该国的国内情报机构俄罗斯联邦安全局(FSB)相关联,该黑客组织也被追踪为世界末日、原始熊和ACTINIUM。
微软计划通过Office宏阻止恶意软件传递
微软宣布,从4月初开始,将难以在多个MicrosoftOffice应用程序中启用从Internet下载的VBA宏,从而有效地扼杀了一种流行的恶意软件分发方法。使用嵌入在恶意Office文档中的VBA宏是一种非常流行的方法,可以在网络钓鱼攻击中推送各种恶意软件系列,包括Emotet、TrickBot、Qbot和Dridex。
“这一变化只影响运行Windows的设备上的Office,并且只影响以下应用程序:Access、Excel、PowerPoint、Visio和Word,”微软Office产品组今天表示。
Puma在Kronos勒索软件攻击后遭受数据泄露
运动服装制造商Puma在2021年12月对其北美劳动力管理服务提供商之一的Kronos发起勒索软件攻击后,遭到数据泄露。本月早些时候向几家司法部长办公室提交的数据泄露通知称,攻击者还在加密数据之前从Kronos私有云(KPC)云环境中窃取了属于Puma员工及其家属的个人信息。
Qbot只需30分钟即可窃取您的凭据、电子邮件
被称为Qbot(又名Qakbot或QuakBot)的广泛传播的恶意软件最近恢复了光速攻击,据分析师称,在最初感染后只需大约30分钟即可窃取敏感数据。
根据DFIR报告的一份新报告,Qbot早在2021年10月就开始执行这些快速的数据抓取攻击,现在看来,其背后的威胁参与者已经恢复了类似的策略。更具体地说,分析师报告说,攻击者需要半小时才能从Outlook窃取浏览器数据和电子邮件,而他们需要50分钟才能跳转到相邻的工作站。
谷歌几乎将Linux内核翻倍,Kubernetes零日奖励
谷歌表示,它通过使用独特的利用技术为零日漏洞和漏洞利用增加更大的奖金,从而提高了对Linux内核、Kubernetes、谷歌Kubernetes引擎(GKE)或kCTF漏洞的报告的奖励。
“我们增加了奖励,因为我们认识到,为了吸引社区的注意力,我们需要将我们的奖励与他们的期望相匹配,”EduardoVela解释道。
“我们认为扩张是成功的,因此我们希望将其进一步延长至至少到今年年底(2022年)。”
