微软称Volt Typhoon自2021年一直针对美国基础设施

首页 > 宁静研究 > 宁静通报 > 宁静简讯

微软称Volt Typhoon自2021年一直针对美国基础设施

宣布时间 2023-05-26

1、微软称Volt Typhoon自2021年一直针对美国基础设施

5月24日，微软称至少从 2021 年年中开始，Volt Typhoon就一直针对美国关岛和其它各地的要害基础设施。被入侵组织涉及政府、海事、通信、制造、信息技术、公用事业、交通、建筑和教育行业。攻击者首先利用未知的零日漏洞入侵Fortinet FortiGuard设备，来实现对目标的初始访问。然后利用PowerShell、Certutil、Netsh和WMIC等LOLBins执行living-off-the-land攻击。五眼联盟称，该团伙还利用了开源工具，如frp、Mimikatz和Impacket等。

https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/

2、SuperVPN因数据库配置错误泄露3.6亿条用户记录

据5月24日报道，免费VPN服务SuperVPN因数据库配置错误，泄露了360308817条用户记录，总计133 GB数据。这些记录除了包罗用户邮件地址、原始IP地址、地理位置数据和服务器使用记录等敏感信息，还包罗密钥、唯一应用法式用户ID号和UUID号等。虽然SuperVPN声称它不存储用户日志，但泄露的数据表明真实情况并非如此，这与该公司的政策相矛盾。此外，在数据库中还发现Storm VPN、Luna VPN、Radar VPN、Rocket VPN和Ghost VPN等VPN提供商名称，可以推断它们在某种水平上是相关的。

https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/

3、Akamai发现僵尸网络Dark Frost DDoS攻击游戏行业的企业

Akamai在5月25日称其发现了新型僵尸网络Dark Frost DDoS攻击游戏行业的企业。该团伙至少从2022年5月开始活跃，针对游戏公司、游戏服务器托管供应商、在线流媒体和其他游戏社区成员。通过分析研究人员确定它的攻击潜力约在629.28 Gbps。该僵尸网络以Gafgyt、QBot、Mirai和其它恶意软件为蓝本，截至2月份，它包罗414台运行种种指令集架构的设备，如ARMv4、x86、MIPSEL、MIPS和ARM7。该案例的特殊之处在于，攻击者宣布了他们攻击的实时记录，供所有人检察。

https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

4、Check Point果然Agrius团伙针对以色列的攻击活动

5月24日，Check Point果然了伊朗黑客团伙Agrius针对以色列组织的攻击活动。攻击者首先通过利用服务器中的漏洞获得目标的初始访问权限。然后利用以色列的ProtonVPN节点分发隐藏在“Certificate”文本文件中的ASPXSpy webshell变体。之后，Agrius从ufile.io和easyupload.io等合法文件托管平台获取勒索软件Moneybird的可执行文件。在目前发现的案例中，该勒索软件仅针对F:\User Shares。这表明Moneybird的目标偏向于导致业务中断，而不是锁定计算机。

https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/

5、Barracuda称其ESG中漏洞CVE-2023-2868已被利用

据媒体5月24日报道，Barracuda称发现其ESG设备中远程命令注入漏洞（CVE-2023-2868）已被利用。该漏洞位于电子邮件附件筛选�？橹�，源于用户提供的.tar文件的输入验证不完整。漏洞于5月19日被发现，并于5月20日和21日宣布的两个宁静补丁中被修复。Barracuda透露，其部门客户的ESG设备遭到攻击，攻击者利用该漏洞对电子邮件网关设备子集的进行未授权的访问。Barracuda体现，视察仅限于其ESG产物，建议受到影响的组织再检查一下他们的网络，以确定其它系统是否被入侵。

https://securityaffairs.com/146620/hacking/barracuda-email-security-gateway-bug.html

6、WP Cookie Consent插件中的XSS漏洞已被大规模利用

5月24日报道称，研究人员发现了大规模利用WordPress Cookie Consent插件Beautiful Cookie Consent Banner中XSS漏洞的活动。未经身份验证的攻击者可在运行该插件的WordPress网站上创建恶意管理员帐户，漏洞已于1月份被修复。凭据记录，该漏洞自2月5日以来一直被积极利用。自5月23日以来，研究人员已经检测到来自近14000个IP地址的近300万次针对凌驾150万个网站的攻击，而且，目前攻击仍在继续。

https://www.bleepingcomputer.com/news/security/hackers-target-15m-wordpress-sites-with-cookie-consent-plugin-exploit/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究