| 免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。 1 研究人员发现俄罗斯Turla APT组织的新后门 Cisco Talos发现了俄罗斯Turla APT组织使用的一个新后门。这个简单的后门很可能被用作第二次机会后门,以保持对系统的访问,即使主要恶意软件已被删除。它也可以用作第二阶段的释放器,用其他恶意软件感染系统。攻击者将后门作为服务安装在受感染的机器上。他们试图像现有的Windows服务一样,将该服务命名为“Windows Time Service”,以躲避检测。后门可以上传和执行文件或从受感染的系统中窃取文件。研究人员发现,后门每5秒通过HTTPS加密通道联系命令和控制 (C2) 服务器,以检查是否有来自操作员的新命令。由于此后门的功能有限且编码风格简单,反恶意软件系统不容易将其检测为恶意软件。 
https://blog.talosintelligence.com/2021/09/tinyturla.html 2 美国爱荷华州农民合作社遭到勒索软件攻击 BlackMatter组织被认为是攻击美国爱荷华州一个名为NEW Cooperative的农民团体的罪魁祸首。事件发生在周末,锁定了计算机系统。据报道,攻击背后的威胁者要求提供590万美元的赎金以提供解密器,如果在五天内不支付,赎金将增加到1190万美元。目前尚不清楚NEW Cooperative是否会支付赎金,或者是否有能力恢复其数据,并以另一种方式恢复系统运行。
https://threatpost.com/blackmatt … 5-9m-ransom/174846/ 3 macOS零日漏洞允许攻击者运行任意命令 独立安全研究员Park Minchan披露了苹果macOS Finder中的一个零日漏洞,攻击者可以利用该漏洞在运行任何macOS版本的Mac系统上运行任意命令。该漏洞是由于macOS处理inetloc文件的方式导致它运行嵌入在其中的命令。根据SSD Secure Disclosure公告,它运行的命令可以是macOS本地命令,允许用户在没有任何提示的情况下执行任意命令。
https://securityaffairs.co/wordp … zero-day-macos.html 4 挖矿木马z0Miner利用新发现的Confluence漏洞 最近,研究人员发现挖矿木马z0Miner一直在利用Atlassian在8月份披露的跟踪为CVE-2021-26084的Confluence远程代码执行(RCE)漏洞。根据研究人员的调查,一旦Confluence漏洞被成功利用,z0Miner就会部署web shell来下载恶意文件。该恶意软件使用多种持久性和防御规避机制,其中之一是安装文件vmicvguestvs.dll,z0Miner将其伪装成一种合法的集成服务,称为“Hyper-V Guest integration”。下载的一个脚本还将创建一个名为.NET Framework NGEN v4.0.30319 32的计划任务,该任务伪装成.NET Framework NGEN任务,此计划任务旨在每五分钟从Pastebin下载并执行一个脚本。还会下载一个名为clean.bat的脚本,用于查找和删除来自其他竞争对手的任何加密货币挖掘有效载荷。
https://www.trendmicro.com/en_us … ility-cve-2021.html 5 默认vCenter Server安装中存在严重漏洞 VMware警告客户立即修补Analytics服务中的一个严重的任意文件上传漏洞,这将影响所有运行默认vCenter Server 6.7和7.0部署的设备。攻击者可以利用该安全漏洞(跟踪为CVE-2021-22005,CVSS 3.1 严重性等级为9.8/10)通过上传特制文件在未修补的vCenter Server部署上执行命令和软件。这个漏洞是由SolidLab LLC的George Noseevich和Sergey Gerasimov报告的,未经身份验证的攻击者可以远程利用该漏洞进行低复杂度攻击,不需要用户交互。
https://www.bleepingcomputer.com … er-server-installs/  VMware warns of critical bug in default vCenter Server installs.pdf (809.06 KB, 下载次数: 0)
6 以色列通信巨头Voicenter公司遭到黑客入侵 一名叫Deus的身份不明的黑客在一个互联网论坛上透露,他入侵了以色列通信巨头Voicenter公司的系统,并窃取了15 TB的数据。黑客将这些信息公开出售,并发布了数百个他获取的私人数据示例。Ynet News称,Voicenter公司周六遭到了重大网络攻击。这次攻击使许多接受该公司服务的公司的通信系统瘫痪。该公司周日向其客户发送短信,称攻击者是“来自国外的黑客”。然而,Voicenter声称此次攻击并未影响其工作。
https://www.middleeastmonitor.co … -major-cyberattack/ Israel_ communications company hit by major cyberattack – Middle East Monitor.pdf (1.48 MB, 下载次数: 0)
|