Mandiant发现UNC2891利用新的CAKETAP攻击ATM网络

宣布时间 2022-03-22

Mandiant发现UNC2891利用新的CAKETAP攻击ATM网络


3月16日,Mandiant宣布了关于UNC2891团伙攻击活动的分析陈诉。在此次活动中,攻击者使用了名为CAKETAP的新Unix rootkit,主要针对运行Oracle Solaris操作系统的服务器。Caketap可以隐藏网络连接、进程和文件,其最终目标是从目标ATM中截获银行卡和PIN验证数据,然后使用这些盗数据进行欺诈交易。此外,攻击活动还使用了2个名为SLAPSTICK和TINYSHELL的后门,它们都与UNC1945有关。


https://www.mandiant.com/resources/unc2891-overview


石油管道公司Transneft研发部门Omega 79GB数据泄露


据媒体3月19日报道,Anonymous声称已入侵了Transneft的内部研发部门Omega。Transneft是世界上最大的石油管道公司,总部位于莫斯科。3月17日,DDoSecrets称其收到了Omega高达79GB的电子邮件。此次泄露的数据不仅包罗电子邮件信息,还包罗发票和产物运输详细信息,以及显示服务器机架和其它设备配置的图像文件。不久前,Anonymous还入侵了俄罗斯的媒体审查机构Roskomnadzor。


https://www.hackread.com/anonymous-leak-79gb-russia-oil-pipeline-email-data/


N4ughtysecTU声称已窃取TransUnion非洲分部4TB的数据


 媒体3月18日报道,TransUnion宣布声明称位于南非的服务器遭到了未经授权的访问。巴西黑客团伙N4ughtysecTU声称对这次攻击卖力,并已在攻击期间下载了4TB的数据。攻击者体现他们通过暴力攻击入侵了一个宁静性较差的TransUnion SFTP服务器,并窃取了约莫5400万客户的数据。据悉,攻击者最终破解的密码是“Password”,这已被列为2021年第五大最常用的密码。此次攻击的勒索金额为15000000美元,但TransUnion已指出它不会向黑客付款。


https://www.bleepingcomputer.com/news/security/hackers-claim-to-breach-transunion-south-africa-with-password-password/


FBI宣布AvosLocker攻美国多个要害基础设施的通告


3月17日,美国FBI宣布关于勒索团伙AvosLocker的网络宁静咨询。FBI称,AvosLocker是一个基于RaaS的团伙,针对美国多个要害基础设施的组织,包罗但不限于金融服务行业、制造行业和政府部门等。该通告果然了有关此RaaS团伙的技术细节,还为组织提供了可用于检测和阻止此类攻击的入侵指标(IOC)。ID-Ransomware数据显示,AvosLocker在2021年11月至2021年12月期间的活动激增,且目前仍在继续。


https://www.bleepingcomputer.com/news/security/fbi-avoslocker-ransomware-targets-us-critical-infrastructure/


Google宣布关于Conti初始访问署理计谋的分析陈诉


3月17日,Google威胁分析小组(TAG)宣布了关于Conti初始访问署理计谋的分析陈诉。TAG发现新的EXOTIC LILY与Conti和Diavol等勒索团伙有关,其利用Microsoft Windows MSHTML平台中漏洞CVE-2021-40444进行钓鱼攻击,在岑岭期每天向全球多达650个目标组织发送凌驾5000封邮件。虽然EXOTIC LILY的活动与Conti的业务重叠,但Google认为,它是一个完全专注于建立初始网络访问的独立攻击团伙。


https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/


Western Digital修复其EdgeRover中的目录遍历漏洞


3月18日,Western Digital宣布宁静更新,修复其桌面应用法式EdgeRover中的目录遍历漏洞(CVE-2022-22998)。EdgeRover是集中式内容管理解决方案,将多个数字存储设备统一在一个管理界面下。该漏洞CVSS评分为9.1,可被攻击者用来进行当地权限提升和沙盒逃逸,可能会导致信息泄露或拒绝服务(DoS)攻击。Western Digital的通告并未提供有关该漏洞的详细信息,因此还不清楚这是一个允许当地权限提升的DLL劫持漏洞,还是一个允许访问非特权数据位置的漏洞。


https://www.bleepingcomputer.com/news/security/western-digital-app-bug-gives-elevated-privileges-in-windows-macos/



宁静工具


EvilSelenium


是一个将 Selenium武器化以滥用 Chrome 的新项目。


https://github.com/mrd0x/EvilSelenium/


wholeaked


是一个文件共享工具,可让您在发生泄漏时找到卖力人。


https://github.com/utkusen/wholeaked


WSVuls


命令行工具,专为开发/测试人员通过单个命令测试漏洞和分析网站而设计。


https://github.com/anouarbensaad/wsvuls


AWS CloudSaga


用于在 Amazon Web Services (AWS) 环境中测试宁静控制和警报。


https://github.com/awslabs/aws-cloudsaga#running-the-code



宁静分析


Windows 11 为 USB 驱动器添加了 BitLocker 排除计谋


https://www.bleepingcomputer.com/news/microsoft/windows-11-adds-a-bitlocker-exclusion-policy-for-usb-drives/


微软提醒 Internet Explorer 在 6 月即将淘汰


https://www.bleepingcomputer.com/news/microsoft/microsoft-reminds-of-internet-explorers-looming-demise-in-june/


NIST 为制造商宣布 ICS 网络宁静指南


https://www.securityweek.com/nist-releases-ics-cybersecurity-guidance-manufacturers


新钓鱼工具包可用来创建虚假的 Chrome 浏览器窗口


https://www.bleepingcomputer.com/news/security/new-phishing-toolkit-lets-anyone-create-fake-chrome-browser-windows/


CISA、FBI 警告对 SATCOM 网络供应商的攻击


https://www.hackread.com/targeting-satellite-cisa-fbi-warns-satcom-providers/


多家汽车制造商熏染 Emotet


https://www.darkreading.com/attacks-breaches/multiple-automakers-infected-with-emotet