Hive勒索软件的Linux加密程序转换为Rust语言

PART

安全资讯

Hive勒索软件操控者已将其VMware ESXi Linux加密程序转换为Rust编程语言，并添加了新功能，使安全研究人员更难窥探受害者的勒索谈判。在Group-IB安全研究员rivitna发现的新Hive Linux加密器中，Hive现在要求攻击者在启动恶意软件时提供用户名和登录密码作为命令行参数。通过复制BlackCat的策略，Hive勒索软件操作使得无法从Linux恶意软件样本中检索协商登录凭据，这些凭据现在只能在攻击期间创建的勒索信中使用。Hive继续复制BlackCat，将他们的Linux加密程序从Golang移植到Rust编程语言，使勒索软件样本更高效，更难进行逆向工程

【来源】安天论坛

美国Val Verde纪念医院遭勒索软件攻击数据泄露

据LockBit称，Val Verde纪念医院遭到入侵，96000份患者记录被泄露。该清单于3月16日被添加到泄漏站点。3月24日，Lockbit转储了近400 MB的患者数据。所有数据文件都是纯文本格式，包括人口统计信息和健康保险信息。其中一份文件还包括患者就诊的医疗目的。患者文件中有96000条记录，患者联系人文件中有超过53000个条目，患者保险文件中有超过85000个条目。

【来源】安天论坛

在线评分和出勤系统泄露约82万纽约学生的数据

Horizon Actuarial咨询公司于2021年11月遭到勒索软件攻击。在最近的数据事件通知中，该公司透露其当地295 IBT雇主集团福利基金及美国职业棒球大联盟球员福利计划中的数据已被网络犯罪分子窃取和泄露。Horizon Actuarial公司报告称，该违规行为影响了38418人。在另一份报告中，美国职业棒球大联盟球员福利计划称有13156人受到影响。调查显示，在2021年11月10日至11日的有限时间内，两台Horizon Actuarial计算机服务器被未经授权访问。网络犯罪分子向Horizon Actuarial公司提供了一份被盗数据清单，其中包括姓名、出生日期、社会安全号码和健康计划信息。

【来源】安天论坛

美国职业棒球大联盟球员的个人数据遭到泄露

公司

安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》，称攻击者利用金山办公软件 WPS Office 的漏洞，攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具，研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件，要求他们检查软件的 bug，邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe，该更新程序从属于金山的域名 update.wps[.]cn 下载，但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测，它是攻击者使用的假更新服务器。该更新程序会通过侧加载（sideloading）安装两个恶意程序建立后门控制被感染计算机。

【来源】安天论坛

最新漏洞通报

PART

Symantec Management Agent存在未明漏洞

Symantec Management Agent是一套用于批量管理计算机的软件。该软件支持在Notification Server计算机和网络中的计算机进行通信。Symantec Management Agent存在安全漏洞，攻击者可利用该漏洞通过注册表操作将低权限的本地账户提升到SYSTEM级别。

【来源】CNVD

Pytorch-Lightning代码注入漏洞

Pytorch-Lightning是一个开源轻量级 PyTorch 包装器。用于高性能 Ai 研究。Pytorch-Lightning存在代码注入漏洞，攻击者可利用该漏洞向GitHub存储库中注入代码。

【来源】CNVD

GenieACS操作系统命令注入漏洞

GenieACS是一款高性能自动配置服务器 (ACS)，用于远程管理启用 TR-069 的设备。GenieACS存在操作系统命令注入漏洞，该漏洞源于输入未充分验证以及缺少授权检查，攻击者可利用该漏洞进行OS命令注入的攻击。

【来源】CNVD

nbd输入验证错误漏洞

nbd是一个Linux内核网络块设备的工具。用于通过TCP/IP网络使用远程块设备。nbd 3.24之前版本的nbd-server存在输入验证错误漏洞，该漏洞源于nbd-server出现整数溢出，导致基于堆的缓冲区溢出，攻击者可利用该漏洞导致对悬空指针的写操作。

【来源】CNVD

Wordline HIDCCEMonitorSVC代码问题漏洞

Wordline HIDCCEMonitorSVC是法国Wordline公司的一个安全支付和可信交易领域的应用程序。Wordline HIDCCEMonitorSVC存在代码问题漏洞，该漏洞源于Wordline HIDCCEMonitorSVC包含一个未带引号的服务路径，攻击者可利用该漏洞将权限提升到系统级别。

【来源】CNVD

PART

威胁情报

威胁建模：本地还是第三方？

网络安全和云安全的交叉领域技术正在快速发展，越来越多宝贵的数据被保存并用于制定数据驱动的决策。因此，保护数据免受内部威胁、恶意软件漏洞和不需要的外部访问至关重要。本地和云安全威胁建模都可以帮助您抵御威胁，那哪种威胁建模方式适合您呢？

对信息系统安全资源的任何研究都必须反映可能危及企业环境的系统威胁和漏洞。威胁利用系统中的漏洞来增加系统资源或数据的风险。数据所有者需要使用正确的工具来缓解已知漏洞并减少暴露于明确威胁或威胁类别的风险。在公共云中使用基于威胁的方法对于找出可以阻止哪些威胁以及哪些威胁继续存在至关重要。一种流行的方法称为 STRIDE 威胁建模方法。它可以用于本地和云环境，并且可以在系统设计级别应用它来解决欺骗、篡改、否认、信息泄露、拒绝服务和特权提升威胁。但使用 STRIDE 威胁模型会暴露存在于本地和云中的威胁。

建立基于云安全的威胁模型是一个持续的过程。任何威胁模型流程文档都应该是您可以根据需要进行修改的实时文档。这在使用云托管时更为重要。毕竟，云建模提供了快速的弹性、可扩展性、按需访问和其他功能，例如广泛的网络访问。

UNC 2891 使用 Caketap rootkit 瞄准 ATM 系统进行欺诈交易

事件概述：

近日，Mandiant 发表报告指出具有经济动机的威胁组织 UNC2891 使用 Caketap 窃取 ATM 银行数据，旨在进行银行卡欺诈和关键系统入侵。Caketap 是一个以前未记录的 Unix rootkit，在 2020年曾被部署到托管服务提供商瞄准其客户展开攻击，近期被观察到使用定制的植入物瞄准电信公司展开攻击。

技术详情：

Caketap 部署在运行 Oracle Solaris 操作系统的服务器上，加载后，Caketap 会隐藏网络连接、进程和文件，同时将几个挂钩安装到系统函数中以接收远程命令和配置，拦截卡和密码验证相关的特定消息。然后，Caketap 通过操纵卡验证消息来破坏流程，阻止那些匹配欺诈性银行卡的消息，并生成有效响应。在第二阶段，它会在内部保存与非欺诈性 PAN（主账号）匹配的有效消息，并将其发送到 HSM，这样常规客户交易就不会受到影响，并且植入操作保持隐秘。

来源：微步在线

END

扫码关注我们

数据安全能力引领者！