CISA警告Windows严重漏洞被勒索软件组织利用
美国网络安全和基础设施安全局(CISA)将一个在勒索软件攻击中被滥用的高严重性Windows漏洞标记为零日漏洞,并添加到由CISA维护的软件安全漏洞目录中。该漏洞被跟踪为CVE-2024-26169,由Windows系统错误报告服务中的不正确权限管理缺陷引起。成功利用该漏洞可使本地攻击者在无需用户交互的低复杂性攻击中获得系统高级别权限。微软已于2024年3月12日的每月补丁更新中修补了该漏洞。
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
制造业巨头Keytronic遭遇勒索软件攻击后泄露数据
PCBA制造业巨头Keytronic警告称,两周前黑客组织Black Basta泄露了该公司530GB数据。Key Tronic(更广为人知的名称为Keytronic)是一家美国科技公司,最初作为键盘和鼠标的原始设备制造商(OEM),现在是全球最大的印刷电路板组装(PCBA)制造商之一。上个月,Keytronic在一份SEC文件中披露,5月6日曾遭遇了一次网络攻击,导致其运营受阻,此次攻击影响了公司业务应用程序的正常访问。该公司在周五下午晚些时候向SEC提交的文件中表示,这次攻击还导致他们关闭了在美国和墨西哥的业务运营,关闭时间长达两周,目前受影响业务已恢复正常运营。
参考链接:
https://www.bleepingcomputer.com/news/security/keytronic-confirms-data-breach-after-ransomware-gang-leaks-stolen-files/
美国医疗系统巨头Ascension遭遇勒索软件攻击
美国最大的医疗系统之一Ascension透露,2024年5月的勒索软件攻击是由一名员工下载恶意文件到公司设备引起的。Ascension表示,这可能是一次“无心之失”,因为该员工以为他们下载的是一个合法文件。该攻击影响了MyChart电子健康记录系统、电话和用于订购测试、手术和药物的系统,促使这家医疗巨头在5月8日将一些设备下线。这迫使员工以纸质记录程序和药物,因为他们无法再电子访问病人记录。Ascension还暂停了一些非紧急选择性手术、测试和预约,并将急救服务转移到其他医疗单位以避免分诊延误。周三,Ascension表示其一些服务仍然受到影响,医疗系统仍在努力使一些电子健康记录系统、病人门户、电话系统以及测试、手术和药物订购系统重新上线。它还补充说,正在进行的调查发现威胁行为者仅访问并窃取了其网络上数千台服务器中的七台服务器上的文件。“到目前为止,我们现在有证据表明攻击者能够从我们主要用于日常和例行任务的少数文件服务器上获取文件。这些服务器代表我们网络中大约25000台服务器中的七台。”
参考链接:
https://about.ascension.org/en/cybersecurity-event
食品巨头Panera Bread遭遇勒索攻击泄露敏感数据
美国食品连锁巨头Panera Bread通知员工,未知威胁行为者在三月的勒索软件攻击中窃取了他们的敏感个人信息。公司及其特许经营店在美国48个州和加拿大安大略省经营2160家以Panera Bread或Saint Louis Bread Co命名的咖啡馆。在向加利福尼亚州总检察长办公室提交的数据泄露通知信中,Panera表示发现了所谓的“安全事件”,采取了措施控制泄露,聘请了外部网络安全专家调查事件,并通知了执法部门。公司在通知信中说:“相关文件已被审查,2024年5月16日,我们确定一份文件包含了您的姓名和社会安全号码。”Panera表示,将为此次数据泄露的受影响者提供为期一年的CyEx's Identity Defense Total会员服务,包括信用监控、身份检测和身份盗窃解决方案。公司尚未公开披露受影响的员工数量、攻击背后的威胁行为者及事件的性质。
参考链接:
https://oag.ca.gov/system/files/Panera_CA%20App%20%26%20Sample_0.pdf
研究人员发现针对错误配置Kubernetes集群的挖矿活动
研究人员警告称,一场正在进行的加密劫持活动正针对配置错误的Kubernetes集群来挖掘Dero加密货币。在这次事件中,威胁行为者利用对互联网开放的集群的匿名访问来启动恶意容器镜像,这些镜像托管在Docker Hub上,有些已超过10000次下载。这些Docker镜像包含一个UPX包装的DERO挖矿程序,名为‘pause’。
参考链接:
https://www.wiz.io/blog/dero-cryptojacking-campaign-adapts-to-evade-detection
Black Basta勒索软件疑似利用微软Windows零日漏洞
据研究人员的新发现,与Black Basta勒索软件有关的威胁行为者可能利用了最近披露的微软Windows错误报告服务中的权限提升漏洞作为零日漏洞。该安全漏洞是CVE-2024-26169(CVSS评分:7.8),是Windows错误报告服务中的一个权限提升漏洞,可能被利用以获得SYSTEM权限。微软于2024年3月修补了该漏洞。研究人员团队表示:“对最近攻击中部署的漏洞利用工具的分析显示,其编译时间可能早于补丁发布,这意味着至少有一个组织可能将此漏洞作为零日漏洞进行利用。”该财务动机威胁集群被公司追踪为Cardinal,并被网络安全社区监控为Storm-1811和UNC4393。该组织通过部署Black Basta勒索软件来货币化访问,通常利用其他攻击者获得的初始访问权——最初是QakBot,然后是DarkGate——来攻击目标环境。近几个月来,威胁行为者已被观察到使用合法的微软产品如Quick Assist和Microsoft Teams作为攻击媒介感染用户。
参考链接:
https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day
浙公网安备 33010502006954号 
