本期精选

• Arctic Wolf Labs 团队公布了勒索团伙Lorenz的调查报告，揭露了一些最新的勒索TTP
• Fortinet FortiNAC漏洞在细节被公布的几个小时内就被大规模利用
• IBM X-Force红队发布Direct Kernel Object Manipulation (DKOM) 攻击调研报告
• CISA将IBM Aspera Faspex代码执行漏洞(CVE-2022-47986)添加到KEV目录中 

Lorenz的初始入侵使用了Mitel MiVoice VoIP 设备作为跳板，也使用盗取的VPN账户进入内网。他们在端点上使用了BYOVD技术利用有漏洞的驱动程序，使用正规的内存取证工具Magnet RAM Capture盗取凭据，这些手法都绕过了某知名厂商EDR的防护。

Fortinet FortiNAC漏洞（CVE-2022-39952）是一个任意文件写入漏洞，由Fortinet内部安全人员发现，在安全补丁发布的同时马上就被安全厂商diff出了细节，相应的漏洞细节也被黑客获悉，在几小时内针对互联网目标大规模利用。

目前端点攻防的焦点都放到了端点安全检测、遥测的压制，这篇文章总结了目前攻击者利用BYOVD攻击（签名驱动漏洞）在内核空间中执行DKOM的大部分方式。

美数十家大型组织机构和企业都使用了IBM Aspera Faspex文件传输工具，CISA表示该漏洞对联邦企业构成重大风险。

该工具使用Ruby on Rails开发，漏洞细节在数周前已公布