先进攻防情报精选-第1期

本期精选

• VMware ESXi大规模勒索攻击活动出现

• 微软分享针对APT组织NOBELIUM的事件响应过程

• portswigger发布2022年十大Web黑客技术

• GoAnywhere MFT软件出现在野0day攻击

• 未知黑客在Steam中测试Dota 2地图的V8引擎漏洞

• Apache官方修复了HackerOne白帽子报告的Kafka远程代码执行漏洞

  
  

VMware ESXi大规模勒索攻击活动出现

这次攻击涉及的是VMWare ESXi 的OpenSLP服务漏洞。

去年juniper曾发现未打补丁的ESXi服务器被植入Python后门，疑似使用了OpenSLP服务漏洞的2个老漏洞CVE-2019-5544和CVE-2020-3992。

此次勒索攻击活动使用的漏洞疑似是CVE-2021-21974，ovh是最早的法国受害运营商

CVE-2021-21974漏洞的POC公开于2021年6月期间，而ET Labs在2023年2月3日专门更新了编号为2044114的IDS规则，可见相关漏洞在流量的入侵检测上未被太关注。

这次攻击者的加密脚本出了个有意思的BUG，为了加密文件的效率，攻击者计算文件大小进行了分块加密，通过均分的方式只加密一小块跳过多块文件，文件越大跳过的块越多，结果导致真正存储虚拟机数据的大文件只损坏了一小部分，可以被恢复。