En 400-6655-581
5
返回列表
> 資源中心 > 文章>榮譽&資訊> 黑客利用Fortinet漏洞進行勒索軟件攻擊

黑客利用Fortinet漏洞進行勒索軟件攻擊

文章

2023-01-13瀏覽次數(shù):156

有研究人員提出警告,F(xiàn)ortinet于去年10月修補的重大漏洞CVE-2022-40684,已經(jīng)成為黑客大肆利用的對象!其中,他們偵測到兩起勒索軟件攻擊,黑客便是針對存在相關漏洞的Fortinet設備下手,入侵目標組織網(wǎng)絡環(huán)境來加密文件。


以往的披露UEFI固件漏洞都是出現(xiàn)在x86計算機上,但采用其他處理器的計算機也可能出現(xiàn)類似漏洞!有研究人員向高通(Qualcomm)通報數(shù)個UEFI漏洞,并指出這應該是首度披露的Arm計算機UEFI漏洞。


在烏克蘭戰(zhàn)爭尚未結束、美國注資烏克蘭相關軍事資源的情況下,俄羅斯黑客也將一些敏感的研究機構列為攻擊目標。有新聞媒體披露,俄羅斯黑客Cold River疑似針對美國的核子實驗室的科學家發(fā)動釣魚攻擊。


安全企業(yè)eSentire提出警告, 他們在2022年11月下旬的兩起勒索軟件攻擊事件,發(fā)現(xiàn)黑客鎖定未修補重大漏洞


CVE-2022-40684的Forinet SSL VPN設備而來,目前已在加拿大的大學與跨國投資公司發(fā)現(xiàn)這樣的活動。


研究人員表示,黑客一旦成功進入目標組織的網(wǎng)絡環(huán)境,就會發(fā)動寄生攻擊(LOLBin),并濫用遠程桌面協(xié)議(RDP)來橫向移動,最終利用BitLocker與BestCrypt來加密文件,并要求受害組織通過電子郵件向他們聯(lián)系。而這些黑客的身份,研究人員指出,他們先前曾用名為KalajaTomorr的勒索軟件發(fā)動攻擊。


根據(jù)路透社的報道,俄羅斯黑客組織Cold River自去年夏天起,持續(xù)鎖定美國3座核子研究實驗室,分別為Brookhaven(BNL)、Argonne(ANL)、Lawrence Livermore National Laboratories(LLNL),黑客為上述機構創(chuàng)建偽造的登錄網(wǎng)頁,然后向科學家發(fā)送釣魚郵件,意圖借此得知他們的帳密資訊。


路透社表示,他們無法確定黑客攻擊的目的,也無法確認是否成功入侵。對此,BNL拒絕回應,LLNL沒有回復,ANL則表示由美國能源部進行說明,但后者不愿發(fā)布看法。


安全企業(yè)賽門鐵克披露黑客組織Blubottle的攻擊行動,主要鎖定使用法語的非洲國家銀行而來,但阿根廷、巴拉圭、孟加拉也有受害組織。黑客自2022年7月至9月,使用惡意程序加載工具GuLoader及帶有簽章的驅動程序發(fā)動攻擊,先是利用ISO鏡像文件傳播上述文件,一旦入侵成功,黑客便將GuLoader注入Internet Explorer附加組件安裝工具(ieinstal.exe)、ASP.NET瀏覽器注冊程序(ieinstal.exe)來執(zhí)行,進而部署Netwire、Quasar等RAT木馬程序。


研究人員指出,這些黑客攻擊手法大部分與Group-IB披露的黑客組織Opera1er雷同,但無法確定是否為相同的組織。


1月4日持續(xù)開發(fā)/持續(xù)交付(CI/CD)平臺企業(yè)CircleCI發(fā)布安全通報,表示該公司著手調(diào)查安全事件,并強調(diào)公司系統(tǒng)無未經(jīng)授權的攻擊者行動跡象,但為了慎重起見,他們要求所有用戶采取預防措施,包括立即輪換存儲在CircleCI賬號的所有密鑰,并于完成后檢查2022年12月21日至2023年1月4日的系統(tǒng)日志,確認是否出現(xiàn)未經(jīng)授權的訪問。


在要求用戶檢查系統(tǒng)是否曾有未經(jīng)授權訪問的同時,CircleCI公司也廢止項目API權限,用戶需要更換這些token,才能繼續(xù)使用相關服務。


本次安全通報選在美東晚間9時30分發(fā)出,已是多數(shù)人下班時間。對此,該公司表示他們的用戶遍布全球,只能盡快通知所有的客戶采取行動。


安全企業(yè)Minerva披露名為CatB的勒索軟件,研究人員看到該勒索軟件于11月23日上傳到惡意軟件分析平臺VirusTotal,社群認為可能是勒索軟件Pandora的變種。研究人員對CatB進行分析,發(fā)現(xiàn)該勒索軟件會先檢測處理器核心數(shù)量、內(nèi)存大小、存儲空間,來判斷是否在沙箱環(huán)境執(zhí)行,一旦確認是在真實的計算機環(huán)境,該勒索軟件的引導程序就會通過DLL挾持手法,將其酬載投放于System32系統(tǒng)文件夾,并篡改MSDTC系統(tǒng)服務的配置,來維持此勒索軟件于受害計算機運行,完成后便開始加密受害計算機的文件。


與許多勒索軟件不同的是,CatB不會變動計算機文件的文件擴展名,并將勒索消息寫在每個文件內(nèi)容的最前面,使得受害者直到發(fā)現(xiàn)文件無法使用才發(fā)現(xiàn)遭到攻擊。


根據(jù)安全新聞網(wǎng)站HackRead報道,安全研究人員Anurag Sen通過物聯(lián)網(wǎng)搜索引擎Shodan,發(fā)現(xiàn)美國ERP企業(yè)所有的Elasticsearch服務器不需帳密就能訪問,該服務器約自去年12月下旬開始暴露于網(wǎng)際網(wǎng)絡,其中包含印度求職者詳細資料,文件大小超過6.3 GB,資料數(shù)量超過57.5萬筆,內(nèi)有求職者姓名、出生日期、電子郵件信箱、電話號碼、履歷、雇主資料。研究人員已向印度計算機緊急應變小組(CERT-in)通報此事。


高通于1月5日發(fā)布安全通報,修補約20個漏洞,其中有5個是安全企業(yè)Binarly通報。該公司的研究人員向安全新聞網(wǎng)站SecurityWeeks透露,這些漏洞他們最初是在分析搭載高通處理器的聯(lián)想ThinkPad X13s發(fā)現(xiàn),當時一共找到9個漏洞,但發(fā)現(xiàn)其中5個與高通的參考程序代碼有關,這意味著可能會影響所有采用高通SoC的筆記本,包括微軟Surface,以及三星的設備。

研究人員指出,這5個漏洞是首度在Arm架構計算機發(fā)現(xiàn)的UEFI漏洞,其中CVE-2022-40516、CVE-2022-40517、CVE-2022-40520為內(nèi)存堆棧的緩沖區(qū)溢出漏洞,CVSS風險層級皆為8.2分;CVE-2022-40518、CVE-2022-40519則是出現(xiàn)在DXE驅動程序,一旦遭利用可能導致內(nèi)存泄露,為中等風險層級的漏洞,CVSS評分為4.9分、6.0分。


文章轉載自十輪網(wǎng)