维他命每日安全简讯（2023.05.12）

每日头条

1、安全公司Dragos披露其近期遭到的勒索攻击的详细信息

据媒体5月10日报道，工业网络安全公司Dragos披露了其近期遭到的安全事件的详细信息。该公司表示，某勒索团伙于5月8日试图入侵公司系统，但未能成功。攻击者在新销售人员入职之前泄露了其邮件地址，随后使用这些个人信息冒充Dragos员工并完成员工入职流程的初始步骤。攻击者可以访问SharePoint和Dragos合同管理系统。Dragos称，该事件事件已得到控制，攻击者无法横向移动、权限提升、建立持久访问或对基础架构进行更改。

https://securityaffairs.com/146053/cyber-crime/dragos-failed-extortion-attempt.html

2、因拒付赎金印度某银行约600 GB的数据被LockBit公开

据5月8日报道，勒索团伙LockBit 3.0公开了从印度银行Fullerton India窃取的600 GB数据。Fullerton India于4月24日称其遭到了网络攻击，LockBit 3.0声称获得了超过600 GB与个人和合法公司签订的贷款协议。该团伙将赎金支付的最后期限定为4月29日，并允许支付1000美元将截止日期延长24小时。由于Fullerton India拒绝与勒索团伙接触，该团伙在本周一公开了窃取的信息。

https://www.bankinfosecurity.com/lockbit-30-leaks-600-gbs-data-stolen-from-indian-lender-a-22010

3、韩国警方公开首尔国立大学医院被Kimsuky攻击的细节

媒体5月10日报道，韩国国家警察厅(KNPA)透露，与朝鲜相关的黑客团伙入侵了该国最大的医院之一，首尔国立大学医院(SNUH)。该事件发生在2021年5月至6月，警方在过去两年中进行了分析调查，以确定攻击者身份。警方并未将此次攻击归因于特定的组织，但当地媒体推断这是由Kimsuky协调的。据报告，黑客使用了至少七台位于韩国等国家的服务器来发起攻击。此次攻击导致约830000名患者和工作人员的信息泄露。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/

4、瑞士科技公司ABB遭到勒索团伙Black Basta的攻击

5月11日报道称，瑞士电气化和自动化技术提供商ABB遭到了Black Basta的勒索攻击。ABB公司为制造和能源供应商开发工业控制系统(ICS)和SCADA系统，2022年的收入为294亿美元。该公司在5月7日遭到攻击，其员工透露，攻击影响了公司的Windows Active Directory，涉及数百台设备。为了应对此次攻击，ABB终止了与其客户的VPN连接，以防止勒索软件传播到其它网络。这次攻击扰乱了该公司的运营，延误了项目，影响了工厂。目前，ABB拒绝对此事置评。

https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/

5、FortiGuard发布关于RapperBot攻击活动的分析报告

5月9日，FortiGuard称其发现了自1月以来活跃的RapperBot活动的新样本。在此次活动中，攻击者已开始涉足加密劫持，特别是针对Intel x64设备。矿工代码现已集成到RapperBot中，并使用双层XOR编码进行混淆，从而有效地隐藏矿池和Monero挖矿地址。虽然研究人员没有观察到任何从C2服务器发送到样本的DDoS命令，但发现最新的bot版本支持命令：执行DDoS攻击、阻止DDoS攻击和终止自身。RapperBot似乎正在快速发展并扩展功能以最大化其利润。

https://www.fortinet.com/blog/threat-research/rapperbot-ddos-botnet-expands-into-cryptojacking

6、McAfee发布关于GULoader攻击活动的深入分析报告

5月9日，McAfee发布关于近期GULoader攻击活动的分析报告。在这些活动中，攻击者通过垃圾邮件发送基于NSIS的安装程序，这些安装程序使用插件库在目标系统上执行GU shellcode。报告还描述了GUloader如何利用矢量异常处理(VEH)来混淆执行流程并减慢分析速度。GuLoader在大规模恶意软件活动中被利用，来分发信息窃取恶意软件，如Raccoon、 Vidar和Redline等。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/guloader-campaigns-a-deep-dive-analysis-of-a-highly-evasive-shellcode-based-loader/

安全动态

DownEx被用于针对中亚国家政府组织的攻击https://www.bitdefender.com/blog/businessinsights/deep-dive-into-downex-espionage-operation-in-central-asia/

RedStinger攻击活动

https://www.malwarebytes.com/blog/threat-intelligence/2023/05/redstinger

CLR SqlShell攻击MS-SQL服务器分析

https://asec.ahnlab.com/en/52479/

思科在野发现新的PaaS工具Greatness

https://blog.talosintelligence.com/new-phishing-as-a-service-tool-greatness-already-seen-in-the-wild/

CVE-2023-29324：Windows MSHTML平台安全功能绕过漏洞

https://thehackernews.com/2023/05/experts-detail-new-zero-click-windows.html

Capita表示勒索攻击导致的损失将高达2500万美元