0827-5th域微讯晨报-伊朗黑客利用Log4shell漏洞-趋势警示新勒索软件-黑山称遭到俄网攻-反作弊驱动程序被勒索者利用

1、伊朗黑客利用SysAid应用程序中的Log4Shell实施网络攻击

微软表示，它追踪的威胁者Mercury已知会利用Log4j漏洞，但它已经针对易受攻击的VMware软件这样做了，这似乎是他们第一次针对SysAid应用程序。这家科技巨头以“适度的信心”评估黑客已经利用了SysAid服务器实例。SecurityWeek不知道威胁参与者利用Log4Shell攻击SysAid应用程序的任何其他攻击。提供IT服务管理解决方案的 SysAid在Log4Shell漏洞曝光后不久就解决了该漏洞，但似乎有些实例仍未修补。Mercury也被称为Seedworm、Static Kitten和MuddyWater。今年早些时候，美国政府正式将该组织与伊朗情报和安全部联系起来。在微软于7月下旬观察到的攻击中，Mercury以位于以色列的组织为目标。伊朗团体瞄准以色列的情况并不少见。“攻击者在 2022年初利用Log4j漏洞攻击VMware应用程序，并可能寻找类似易受攻击的面向互联网的应用程序。提供IT管理工具的SysAid可能因其在目标国家的存在而成为一个有吸引力的目标，”微软表示。在获得对目标系统的访问权限后，黑客建立了持久性，转储凭据，并使用各种工具在组织内横向移动。威胁行为者进行了动手键盘活动。微软解释说：“利用SysAid成功地使攻击者能够丢弃并利用Web shell来执行多个命令。” “大多数命令都与侦察有关，使用一个编码的PowerShell来下载攻击者的横向移动和持久性工具。”

2、趋势科技对名为Agenda的新勒索软件发出警报

网络安全公司趋势科技正在对一个名为Agenda的新勒索软件系列发出警报，该系列已被用于攻击亚洲和非洲的组织。该威胁以 Golang (Go) 跨平台编程语言编写，能够以安全模式重新启动系统并停止特定于服务器的进程和服务。Agenda针对基于Windows的系统，并已被用于攻击印度尼西亚、沙特阿拉伯、南非和泰国的医疗保健和教育组织。更重要的是，趋势科技表示，观察到的样本是为每个受害者定制的，每个受害者要求的赎金金额也不同——介于 50,000美元到800,000美元之间。“每个勒索软件样本都是为目标受害者定制的。我们的调查表明，样本泄露了账户、客户口令和用作加密文件扩展的唯一公司ID，”趋势科技指出。Agenda支持多个命令行参数，构建运行时配置以定义其行为，删除卷影副本，终止各种防病毒进程和服务，并创建指向自身副本的自动启动条目。此外，勒索软件会更改默认用户的口令，然后使用修改后的凭据启用自动登录。它以安全模式重新启动机器，并在重新启动时开始加密数据。趋势科技已经确定了Agenda与知名勒索软件系列之间的相似之处，包括Black Basta、Black Matter和REvil（又名Sodinokibi）。具体来说，Agenda的支付站点和在其Tor站点上实施的用户验证类似于Black Basta和Black Matter，而在安全模式下更改Windows口令和重启系统的能力类似于Black Basta和REvil。

3、勒索软件运营者滥用反作弊驱动程序以禁用防病毒软件

据网络安全公司Trend Micro报道，攻击者滥用Genshin Impact视频游戏的易受攻击的反作弊驱动程序来禁用防病毒程序，以促进勒索软件的部署。驱动程序mhyprot2.sys提供反作弊功能，但可用于绕过从用户模式到内核模式的权限，并终止与端点保护应用程序相关的进程和服务。趋势科技指出，驱动程序的使用独立于Genshin Impact游戏，即使在游戏被卸载后仍保留在用户设备上。据称，该驱动程序使用有效证书进行签名，这意味着它可以继续在用户的计算机上运行，从而使他们面临恶意滥用。此外，趋势科技相信其他恶意软件家族也可能很快开始瞄准它。“这个勒索软件只是我们注意到的第一个恶意活动实例。威胁参与者旨在在受害者的设备中部署勒索软件，然后传播感染。由于mhyprot2.sys可以集成到任何恶意软件中，我们正在继续调查以确定驱动程序的范围，”该公司的安全研究人员说。自2020年10月Genshin Impact发布后不久，mhyprot2.sys模块很容易获得，利用它来读取/写入内核内存、终止进程和枚举系统资源的概念验证(PoC)代码已公开可用。研究人员说，该驱动程序的多功能性，再加上制作精良的PoC代码的存在，表明该驱动程序的使用可能比一些已知的rootkit更普遍。作为已分析攻击的一部分，攻击者向域控制器部署了一个伪装成AVG Internet Security的恶意Windows安装程序，该安装程序在其他文件中删除并执行了易受攻击的驱动程序。根据趋势科技的说法，攻击者可能试图通过启动/登录脚本从域控制器大规模部署勒索软件。

4、 CISA警告：攻击者已经利用了Delta Electronics工业自动化软件的一个漏洞

影响Delta Electronics工业自动化软件的一个漏洞似乎已被利用在攻击中，美国网络安全和基础设施安全局 (CISA)正在敦促组织尽快采取行动。CISA周四（25日）在其已知被利用漏洞目录中增加了10个安全漏洞，并指示联邦机构在9月15日之前解决这些漏洞。其中一个漏洞是CVE-2021-38406，这是一个影响Delta Electronics DOPSoft软件的高严重性远程代码执行漏洞，该软件用于设计和编程人机界面(HMI)。该漏洞是一个越界写入问题，可以通过让目标用户打开特制项目文件来利用它。CISA于2021年9月发布了一份报告，描述了此漏洞和其他 DOPSoft漏洞。当时，该机构通知用户，由于产品已达到使用寿命，并且供应商一直在建议客户切换到受支持的软件，因此这些漏洞将不会被修补. CISA现在表示，如果该产品仍在使用中，则应将其移除。除了Palo Alto Networks于8月19日发布的一篇博客文章外，似乎没有任何公开报告描述利用此漏洞的情况，其中列出了根据该公司在2月之间收集的数据在野外利用的几个漏洞。博客文章中列出了CVE-2021-38406，但没有提供有关利用它的攻击的信息。SecurityWeek已联系 Palo Alto Networks，以获取有关利用CVE-2021-38406的更多信息。正如最近的SecurityWeek分析所指出的那样，威胁行为者进行不分青红皂白的互联网扫描活动并针对操作技术(OT)产品中的漏洞并不少见，但这并不意味着目标漏洞实际上已在攻击中被利用——只是他们可能。工业控制系统(ICS)中的漏洞在攻击中实际被利用的情况很少见。然而，CISA最近澄清说，只有有可靠证据证明被利用的漏洞才会被添加到其“必须修补”列表中。

5、Atlassian针对关键Bitbucket漏洞发布紧急补丁

Atlassian的安全响应团队已发布紧急公告，警告其Bitbucket服务器和数据中心产品中存在严重的命令注入漏洞。 Atlassian表示，该漏洞的CVSS严重性评分为9.9分，可以远程利用来发起代码执行攻击。 Atlassian表示，被跟踪为CVE-2022-36804的安全漏洞是在Bitbucket Server and Data Center的7.0.0 版本中引入的。 警报称： “Bitbucket Server and Data Center的多个API端点存在命令注入漏洞。 有权访问公共Bitbucket存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意HTTP请求来执行任意代码。 6.10.17之后发布的所有版本（包括7.0.0 及更高版本）都会受到影响，这意味着所有运行7.0.0和8.3.0（包括）之间任何版本的实例都可以被此漏洞利用。 ”该公司表示，Atlassian Cloud站点不受此问题的影响。 Atlassian披露了一个新的严重性问题，此前有记录表明该澳大利亚公司广泛部署的Confluence软件产品受到了野外攻击。 仅今年一年，美国政府的网络安全响应机构CISA就在其KEV（Known Exploited Vulnerabilities）目录中列出了四个不同的Atlassian软件漏洞。

6、食品配送公司DoorDash披露了与Twilio黑客有关的新数据泄露

食品配送公司DoorDash披露了一项数据泄露事件，该事件暴露了与最近对Twilio的网络攻击有关的客户和员工数据。在25日下午发布的安全公告中，DoorDash表示，威胁行为者使用从有权访问其系统的第三方供应商处窃取的凭据获得了对公司内部工具的访问权限。“DoorDash最近检测到来自第三方供应商的计算机网络的异常和可疑活动。作为回应，我们迅速禁止供应商访问我们的系统并控制了事件，”DoorDash安全通知解释道。黑客利用这种对DoorDash内部工具的访问权限来访问消费者和员工的数据。暴露的信息包括消费者的姓名、电子邮件地址、送货地址和电话号码。此外，对于一小部分客户，黑客访问了基本订单信息和部分信用卡信息，包括卡类型和卡号的最后四位数字。对于公司的员工（称为Dashers），黑客可能已经访问了姓名、电话号码和电子邮件地址。虽然DoorDash没有提及第三方供应商的名称，但这家食品配送公司告诉TechCrunch ，该漏洞与最近对Twilio的网络攻击相同的威胁行为者有关。DoorDash此前曾在2019年遭遇数据泄露，导致近500万客户的数据泄露。本月早些时候，Twilio透露， 在多名员工因SMS网络钓鱼攻击而遭受攻击后，他们遭到破坏，该攻击允许威胁参与者访问内部系统。

7、美国FCC调查显示顶级移动运营商平均保留地理位置数据两年

根据联邦通信委员会25日公布的电信公司的信息，排名前15的移动运营商中有10家收集地理位置数据，消费者无法选择退出。运营商对FCC关于数据收集和保留的问题的回答是为了响应该机构7月提出的寻求地理定位实践信息的请求，因为他们担心执法部门如何使用电话数据来逮捕那些在这些州寻求堕胎的人。程序现在是非法的或将很快被取缔。“我们的手机非常了解我们。这意味着运营商知道我们是谁，我们给谁打电话，以及我们在任何特定时刻的位置，”FCC主席Jessica Rosenworcel说。“这些信息和地理位置数据非常敏感。这是我们去过哪里以及我们是谁的记录。这就是FCC采取措施确保这些数据受到保护的原因。”在他们的回复中，公司普遍认为需要遵守执法要求以及FCC规则是他们无法让消费者选择退出收集和保留的原因。这些回复还提供了一个了解数据保留实践的窗口，为响应公司的蜂窝塔数据保留了两个月到五年不等。只有七家公司明确提到通过加密保护这些数据。运营商在他们之前如何使用他们的地理位置数据方面误导了消费者。2020年，FCC提议对几家主要运营商处以2亿多美元的罚款，因为这些运营商向保释金公司和其他第三方出售客户位置数据。

8、黑山报告称俄罗斯对政府发起大规模网络攻击

黑山安全机构26日警告说，来自俄罗斯的黑客已经对这个小国的政府及其服务发起了大规模、协调的网络攻击。国家安全局ANB）示，黑山“目前正处于一场混合战争中”。亚得里亚海国家曾被视为俄罗斯的强大盟友，但在2017年不顾莫斯科的强烈反对加入了北约。它还加入了西方对俄罗斯入侵乌克兰的制裁。除大多数欧洲国家外，俄罗斯还将黑山列入其“敌国”名单，理由是其行为违背了克里姆林宫的利益。黑山政府本周早些时候首先报告了对其服务器的一系列网络攻击，但表示它设法防止了任何损害。然而，攻击似乎仍在继续。“俄罗斯是网络攻击的幕后黑手，”ANB在一份声明中说。“这种袭击是在黑山第一次进行，并且已经准备了很长时间。”政府官员杜桑·波洛维奇说：“我可以肯定地说，黑山最近遭受的这次袭击直接来自俄罗斯。”美国驻黑山大使馆警告其在巴尔干国家的公民要注意“正在进行的持续和持续的网络攻击”。“攻击可能包括对公用事业、交通（包括边境口岸和机场）和电信部门的破坏，”它说。