微软发现朝鲜攻击者利用H0lyGh0st攻击中幼型企业

首页 > 安全钻研 > 安全传递 > 安全简讯

微软发现朝鲜攻击者利用H0lyGh0st攻击中幼型企业

颁布功夫 2022-07-18

1、微软发现朝鲜攻击者利用H0lyGh0st攻击中幼型企业

7月14日，微软颁布汇报分析了朝鲜DEV-0530（自称为H0lyGh0st）的攻击战术以及其勒索软件的技术细节。自2021年6月以来，该团伙一向在开发和使用勒索软件进行攻击，并早在2021年9月就成功入侵了多个国度的幼型企业。钻研人员将该团伙的勒索软件归类为两个系列：SiennaPurple和SiennaBlue，并在这些系列下确定了四个变体：BTLC_C.exe、HolyRS.exe、HolyLock.exe和BLTC.exe。

https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/

2、美国中情局前工程师因Vault 7泄露事务而被定罪

据7月14日报路，纽约的一个联国陪审团颁发，中央谍报局软件工程师向维基解密网站(WikiLeaks)泄露大量机密文件的罪名成立。现年33岁的Joshua Schulte面对的九项指控罪名均成立，蕴含犯法网络国防信息等。维基解密将这些机密文件定名为“Vault 7”，并在2017年颁布，这些文件具体告发了CIA若何入侵电脑、智能手机、利用和电视机等。维基解密称，Vault 7是有史以来关于CIA的最大一次机密文件颁布。高级谍报官员普遍以为，这是对美国间谍机机关成进攻的最具粉碎性的泄密事务之一。

https://thehackernews.com/2022/07/former-cia-engineer-convicted-of.html

3、Cloudflare称其近千名客户遭到来自Mantis的DDoS攻击

媒体7月14日报路，Cloudflare暗示其在6月份缓解了来自Mantis的大规模DDoS攻击。Mantis重要针对IT和电信行业(36%)、新闻媒体和出版物行业(15%)、金融行业(10%) 和游戏行业(12%)的实体。该公司指出，在从前30天里，其近千名客户遭到了3000屡次DDoS攻击。与由IoT设备组成的传统僵尸网络分歧，Mantis使用的是被劫持的虚构机和服务器，它仅用5000多个机械人就能每秒天生2600万个HTTPS要求。该活动重要针对美国(20%)和俄罗斯(15%)，其次是土耳其、法国和波兰等。

https://www.bleepingcomputer.com/news/security/mantis-botnet-behind-the-record-breaking-ddos-attack-in-june/

4、Netwrix Auditor中存在可用来执行肆意代码的缝隙

据7月16日报路，Bishop Fox的在Netwrix Auditor软件中发现了一个缝隙，可用来在受影响的设备上执行肆意代码。Netwrix Auditor是一款允许组织监控其IT基础设施的审计软件，被全球有超过11000个组织使用。这是一个不安全的对象反序列化缝隙，底子原因是存在一个不安全的.NET远程处置服务，可在Netwrix服务器上的TCP端口9004上接见，能被用来在服务器上执行肆意号令。此表，由于该号令是以NT AUTHORITY/SYSTEM权限执行的，攻击者可利用该缝隙齐全节造Netwrix服务器。目前，缝隙已被建复。

https://securityaffairs.co/wordpress/133310/hacking/netwrix-auditor-flaw.html

5、Unit 42泄漏针对Elastix VoIP系统的攻击活动的细节

7月15日，Unit 42称其发现了一场针对Elastix VoIP电话服务器的大规�；疃�。Elastix是统一通讯的服务器软件，用于FreePBX的Digium电话�？�。攻击活动起头自2021年12月，至2022年3月钻研人员已发现了超过50万个恶意软件样本。汇报指出，攻击者会通过在指标的Digium软件中下载和执行额表的payload，植入一个web shell来窃取数据。就功夫线而言，Web shell似乎与Rest Phone Apps(restapps)�？橹械脑冻檀胫葱蟹煜叮–VE-2021-45461）有关。

https://unit42.paloaltonetworks.com/digium-phones-web-shell/

6、Wordfence称大规模攻击活动已扫描160万个WP网站

据媒体7月15日称，Wordfence钻研人员检测到了一场大规模攻击活动，已经扫描了近160万个WordPress网站。攻击者重要针对Kaswara Modern WPBakery页面天生器，该插件已被其开发者烧毁。据Wordfence遥测数据，攻击从7月4日起头，目前仍在进行中，均匀每天有443868次攻击尝试。攻击者会向“wp-admin/admin-ajax/php”发送POST要求，并利用插件的“uploadFontIcon”AJAX函数上传蕴含PHP文件的恶意ZIP payload。这些攻击来自10215个分歧的IP地址，钻研人员建议用户马裳佚该插件，并阻止攻击者使用的IP地址。

https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研