Lazarus 黑客劫持微软 IIS 服务器传播恶意软件

SentinelOne发现MOVEit文件传输服务器应用程序中的CVE-2023-34362漏洞遭到了野外（ITW）攻击。

攻击者越来越多地将 Internet 信息服务 (IIS) 扩展用作服务器的隐蔽后门，这些后门隐藏在目标环境的深处，并为攻击者提供了持久的持久性机制。虽然之前已经发表了关于特定事件和变体的研究，但对于攻击者如何利用 IIS 平台作为后门通常知之甚少。

Conti 勒索软件运营商正在利用最近披露的 ProxyShell 漏洞利用攻击 Microsoft Exchange 服务器。

近日，国外安全专家发现勒索软件Blind的新变种，该变种以“[email] .napoleon”作为加密文件的后缀名，怀疑攻击者是通过入侵IIS服务器部署分发的勒索软件。 国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关

美国联邦调查局 (FBI) 与美国特勤局发布了一份联合网络安全咨询公告，该公告透露，BlackByte 勒索软件组织在过去3个月中入侵了至少3 个美国关键基础设施组织。 而在上周，BlackByte攻击了美国国家橄榄球联盟（NFL）旧金山49人队（49ers），从其组织系统上窃取了数据。

美国联邦调查局（FBI） 与美国特勤局发布了一份联合网络安全咨询报告，该报告显示，BlackByte 勒索软件团伙已经入侵了至少三个来自美国关键基础设施领域的部门。 这项联合网络安全咨询由联邦调查局 (FBI) 和美国特勤局 (USSS) 开发，旨在提供有关 BlackByte勒索软件的信息。截至2021年11月，BlackByte 勒索软件已经危害了美国和外国企业，包括至少三个美国关键基础设施

IIS 占全球市场的 12.4%，是第三大最受欢迎的网络服务器软件套件，用于支持至少 5160 万个网站和网络应用。不过，早于 7.5 的旧版本 IIS 已经不再受到微软的支持。CyberNews 研究人员使用一个物联网搜索引擎，寻找容易受到已知 CVE 影响的未打补丁的 IIS 网络服务器。

近期，Unit 42的研究人员在分析Medusa（美杜莎）勒索软件活动时，发现该活动的升级和勒索策略发生了很大变化。