1、智利的电信公司GTD遭到勒索团伙Rorschach的攻击
据媒体10月25日报道,智利电信公司Grupo GTD遭到攻击,影响了其基础设施即服务(IaaS)平台,导致在线服务暂时中断。攻击发生于10月23日上午,GTD的数据中心、互联网接入和IP语音(VoIP)等服务受到影响。智利CSIRT称这是一起勒索攻击,虽然没有透露攻击者身份,但研究人员获悉涉及到勒索软件Rorschach(又名BabLock)的变种。关于GTD攻击事件的报告表示,攻击者利用了合法的Trend Micro、BitDefender和Cortex XDR可执行文件中的DLL侧加载漏洞来加载恶意DLL。
/news/security/chilean-telecom-giant-gtd-hit-by-the-rorschach-ransomware-gang/
2、Winter Vivern利用Roundcube漏洞攻击欧洲的机构
ESET在10月25日披露了Winter Vivern团伙针对欧洲的攻击活动。至少自10月11日起,该团伙就一直利用Roundcube Webmail服务器中的XSS漏洞(CVE-2023-5631)攻击欧洲政府机构和智库。攻击者冒充Outlook团队,通过包含特制的SVG文档的HTML邮件来远程注入任意JavaScript代码,最终payload可从被感染的网络邮件服务器窃取电子邮件。该XSS漏洞已于10月14日被修复。
/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/
3、Mandiant提醒Volt Typhoon针对美国的关键基础设施
据10月25日报道,Mandiant提醒管理人员注意Volt Typhoon针对美国的关键基础设施的攻击。自2021年中期以来,该团伙已攻击了通信、制造、公共事业、运输、建筑、海事、政府、信息技术和教育等领域的各种实体。研究人员称,他们可能想在战时制造破坏性事件,虽然没有情报证实这一点,但主要针对关键基础设施的活动使其不得不优先考虑。研究人员敦促管理者优先为面向互联网的边缘设备和网络路由器打补丁和采取缓解措施。
/mandiant-intelligence-chief-raises-alarm-over-chinas-volt-typhoon-hackers-in-us-critical-infrastructure/
4、侧信道攻击iLeakage可利用Safari窃取Apple设备数据
媒体10月26日称,研究人员设计了一种新的推测侧信道攻击方式iLeakage,可利用Safari窃取Mac、iPhone和iPad的数据。iLeakage是针对Apple Silicon CPU和Safari浏览器的推测执行攻击,它可用于以“近乎完美的准确性”从Safari以及iOS上的Firefox、Tor和Edge检索数据。从本质上讲,它是一种无计时器的Spectre攻击,可以绕过所有浏览器供应商实施的标准侧通道攻击的保护。
/news/security/new-ileakage-attack-steals-emails-passwords-from-apple-safari/
5、Cisco披露YoroTrooper针对CIS国家的攻击活动
10月25日,Cisco称YoroTrooper在近期主要针对独立国家联合体(CIS)国家。该团伙于2022年6月首次活跃,可能与萨克斯坦有关,还通过VPN等方式伪装来自阿塞拜疆。今年5月至8月,攻击者入侵了多个国有网站和政府工作人员的账户。大多数攻击始于钓鱼邮件,并分发定制的恶意软件,旨在窃取数据和凭据。自上次被公开披露后,YoroTrooper就改进并扩展了他们的TTP,将他们基于Python的植入程序移植到PowerShell,并越来越多地采用自定义植入程序,放弃了以前使用的商品化恶意软件。
/attributing-yorotrooper/
6、Kaspersky发布复杂的恶意软件StripedFly的分析
10月26日,Kaspersky发布了关于复杂的恶意软件框架StripedFly的分析报告。该恶意软件已隐蔽运行了5年,据估计已感染了超过100万个Windows和Linux系统。StripedFly之前被错误地归类为Monero加密矿工,Kaspersky在去年发现了它的真实本质,并发现该框架自2017年就开始活动。该恶意软件payload包含多个模块,使攻击者能够能够以APT、加密矿工甚至勒索团伙的身份行事。挖矿模块可能是声东击西的策略,也是该恶意软件能够长期绕过检测的主要因素,攻击者主要通过其它模块窃取数据和入侵系统。
/stripedfly-perennially-flying-under-the-radar/110903/