某汽车供应商的系统在两周内被Hive等三个勒索团伙攻击；Cloudflare透露多名员工遭到与Twilio类似的钓鱼攻击

每日头条

1、某汽车供应商的系统在两周内被Hive等三个勒索团伙攻击

8月10日，Sophos透露某汽车供应商的系统在两周内被三个勒索团伙LockBit、Hive和BlackCat攻击。这三个攻击团伙都利用了相同的错误配置，即在管理服务器上暴露了远程桌面协议的防火墙规则。5月1日，Lockbit创建了两个批处理脚本（1.bat和2.bat），通过PsExec上分发了两个勒索软件的二进制文件，加密了19台主机上的文件；两个小时之后，Hive使用已安装在系统上的的合法软件PDQ Deploy来分发其勒索软件二进制文件，加密了16台主机的文件；5月15日，BlackCat利用被感染用户的凭据在6台主机上投放了两个勒索软件的二进制文件。

https://www.bleepingcomputer.com/news/security/automotive-supplier-breached-by-3-ransomware-gangs-in-2-weeks/

2、Cloudflare透露多名员工遭到与Twilio类似的钓鱼攻击

据媒体8月10日称，Cloudflare披露其至少有76名员工及其家属遭到了类似于针对Twilio的复杂钓鱼攻击。这次攻击大约与针对Twilio的攻击同时发生，来自4个与T-Mobile发行的SIM卡相关的电话号码，这些短信指向一个看似合法的域，其中包含关键字Cloudflare和Okta，试图诱使员工交出凭据。Cloudflare表示，有三名员工已上当受骗，但因为使用访问其应用程序所需的符合FIDO2标准的物理安全密钥，其内部系统并未被攻破。

https://thehackernews.com/2022/08/hackers-behind-twilio-breach-also_10.html

3、Volexity称Zimbra中漏洞被用来攻击上千台ZCS服务器

Volexity在8月10日报道，Zimbra身中的漏洞已被利用来入侵超过1000台Zimbra Collaboration Suite(ZCS)邮件服务器。据悉，攻击者早在6月底就开始在身份验证绕过漏洞（CVE-2022-37042）的帮助下，来利用ZCS远程代码执行漏洞（CVE-2022-27925）。Volexity认为，该漏洞的利用方式与2021年初发现的Microsoft Exchange 0day的利用方式一致。Zimbra在公告中并未透露漏洞利用情况，但一名员工在公司论坛上建议用户立即安装补丁，称漏洞确实已在攻击中被利用。

https://www.bleepingcomputer.com/news/security/zimbra-auth-bypass-bug-exploited-to-breach-over-1-000-servers/

4、Cisco Meraki防火墙误报导致Microsoft 365服务中断

媒体8月10日报道，持续的中断影响了多个Microsoft 365服务，用户无法连接到Exchange Online、Microsoft Teams、Outlook桌面客户端和OneDrive for Business。虽然微软表示此事件仅影响了EMEA（欧洲、中东和非洲）地区的客户，但全球用户都在报告服务器连接和登录失败问题。初步调查发现，持续中断可能与Cisco Meraki防火墙入侵检测和预防(IDR)误报阻止Microsoft 365连接并发出Microsoft Windows IIS拒绝服务尝试警报有关。微软最终确认中断是Snort规则1-60381导致的，并表示Cisco Meraki已禁用了受影响的规则。

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-outage-triggered-by-meraki-firewall-false-positive/

5、Unit 42发现新勒索软件BlueSky利用多线程快速加密

Unit 42在8月10日公开了新勒索软件家族BlueSky的技术细节。BlueSky勒索软件主要针对Windows主机，并利用多线程加密主机上的文件来加快加密速度。分析过程中研究人员从BlueSky的样本中发现了可以与Conti联系起来的代码指纹，特别是BlueSky的多线程架构与Conti v3的代码相似，网络搜索模块也是它的完全翻版。另一方面，BlueSky与Babuk更为相似，两者都使用ChaCha20，同时使用Curve25519来生成密钥。

https://unit42.paloaltonetworks.com/bluesky-ransomware/

6、Kaspersky发布关于恶意软件VileRAT的分析报告

8月10日，Kaspersky发布报告称DeathStalker在2022年继续使用VileRAT攻击全球的加密货币交易服务。VileRAT是一个经过混淆和打包的Python3 RAT，具有执行任意远程命令、键盘记录和从C2服务器自我更新等功能，在2020年Q2首次被发现。值得注意的是，迄今为止，研究人员已经确定了数百个与VileRAT感染链相关的域。2021年8月至今，在保加利亚、塞浦路斯、德国、格林纳丁斯、科威特、马耳他、阿拉伯联合酋长国和俄罗斯联邦发现了10个被感染目标。

https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/

安全工具

PersistenceSniper

Powershell脚本，蓝队和系统管理员用它来搜寻植入Windows的持久性。

https://github.com/last-byte/PersistenceSniper

Mr.Kaplan

旨在通过清除执行证据来帮助红队人员保持隐藏状态。

https://github.com/Idov31/MrKaplan

安全分析

Twitter前员工被判为沙特阿拉伯当局从事间谍活动

https://securityaffairs.co/wordpress/134266/intelligence/ex-twitter-employee-guilty.html

思科修复ASA和Firepower的漏洞