美国水师承包商FMG遭到勒索攻击导致运营临时中断

首页 > 安全钻研 > 安全传递 > 安全简讯

美国水师承包商FMG遭到勒索攻击导致运营临时中断

颁布功夫 2023-04-25

1、美国水师承包商FMG遭到勒索攻击导致运营临时中断

据媒体4月21日报路，美国水师承包商Fincantieri Marine Group(FMG)遭到勒索攻击，影响了其电子邮件服务器和部门系统。攻击产生在4月12日早晨，该造船厂泄漏，攻击针对的服务器重要用于保留向其推算机数节造作设备提供指令的数据，导致它们宕机数天。目前没有员工的幼我信息受到影响。美国水师在一份申明中暗示，FMG已采取措施进行响应，水师在积极监督这些工作。

https://www.infosecurity-magazine.com/news/us-navy-contractor-cyberattack/

2、斯坦福等多所大学的网站被黑并分发Fortnite垃圾邮件

据4月21日报路，美国多所大学的网站被黑并分发碉堡之夜（Fortnite）和礼物卡垃圾邮件。涉及斯坦福大学、麻省理工学院、伯克利大学和加州理工学院等大学，这些网站似乎在运行TWiki或MediaWiki。这些wiki页面据称是由垃圾邮件发送者上传的，宣称提供免费礼物卡、Fortnite Bucks和舞弊器等。它们会加载假装成Fortnite页面的垂钓网页，或承诺提供礼物卡的虚伪的调查。此表，该活动还针对巴西某州当局的一个幼型网站，以及欧盟的Europa.eu。

https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/

3、Infoblox通过异常DNS流量检测发现新的Decoy Dog

Infoblox于4月20日称，他们在检测异常DNS流量后，发现了一种新的恶意软件工具包Decoy Dog。该工具旨在援手攻击者通过战术性的域名老化和DNS查问运载来绕过检测，其DNS指纹在互联网上3.7亿个活跃域中极为罕见。对该工具基础设施的调查发现了几个与统一行动有关的C2域，它们的大部门通讯来自俄罗斯的主机。这些域名的DNS隧路拥有指向Pupy RAT的特点，这是一个由Decoy Dog工具包部署的远程接见木马。

https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/

4、Aqua披露利用Kubernetes RBAC的大规模挖矿活动

Aqua在4月21日称其发现了一个大规模的挖矿活动，利用了Kubernetes(K8s)基于角色的接见节造(RBAC)创建后门并运行矿工。通过利用RBAC执行恶意接见节造战术，即便提供初始接见的谬误配置在将来得到建复，攻击者也能够在被习染的集群上持续存在。攻击链利用配置谬误的API服务器进行初始接见，而后发送HTTP要求以列出机密，并发出API要求以通过列出定名空间kube-system中的实体来网络有关集群的信息。此表，攻击者还装置DaemonSets来收受和劫持被攻击的K8s集群的资源。

https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters

5、钻研团队发现利用Google Ads分发BumbleBee的活动

4月20日，SecureWorks披露了利用Google Ads和SEO中毒分发BumbleBee的活动。钻研人员发现一个Google Ad宣传了虚伪的Cisco AnyConnect安全移动客户端下载页面，它创建于2月16日，托管在appcisco[.]com域上。该页面推广木马化MSI装置法式cisco-anyconnect-4_9_0195.msi，它会装置恶意软件BumbleBee。此表，钻研人员还发现了其它拥有类似对应文件名称的软件包，例如ZoomInstaller.exe和zoom.ps1，ChatGPT.msi和chch.ps1，以及CitrixWorkspaceApp.exe和citrix.ps1。

https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads

6、Huntress颁布PaperCut缝隙利用活动的分析汇报

4月21日，Huntress颁布汇报，称其发现了利用PaperCut MF/NG缝隙的活动。这两个缝隙（CVE-2023-27350和CVE-2023-27351）可被远程攻击者用于以SYSTEM权限在被习染的PaperCut服务器上执行肆意代码。钻研人员发现从PaperCut软件中天生的PowerShell号令，用于装置Atera和Syncro等RMM软件，以便在指标主机持续接见和执行代码�；∩枋┓治龇⑾�，托管这些工具的域名于4月12日注册，也托管TrueBot等恶意软件，后者与俄罗斯Silence团伙有关。

https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研