2022第十六期 | 网络安全情报事件

网络安全情报事件一

AvosLocker勒索软件变种

可利用杀软驱动反杀

概述

研究人员发现了AvosLocker勒索软件的变种,其样本能够利用合法的 Avast Anti-Rootkit驱动程序文件(asWarPot.sys)禁用杀软和EDR进程。此外,该勒索软件还能使用Nmap NSE脚本扫描多个端点以查找Log4j漏洞Log4shell,CVE-2021-44228。攻击方式为:利用Zoho ManageEngine ADSelfService Plus (ADSS)未授权RCE漏洞CVE-2021-40539作为入口;使用mshta.exe从C2服务器远程运行HTML应用程序(HTA)文件;HTA从远程服务器下载ASPX webshell;使用常用系统工具(例如 whoami 和 systeminfo)以及 PowerShell命令收集系统信息,在域控服务器上收集用户信息,下载、安装远程桌面工具AnyDeskMSI进行横向移动,并绕过防火墙。使用AnyDeskMSI可将其它工具和组件复制到受感染的机器上,以扫描本地网络并禁用安全产品,这些工具包含:Netscan,Nmap,Mimikatz,Impacket,PDQ deploy和Aswarpot.sys。

TTP类型

漏洞利用:CVE-2021-40539

勒索软件

漏洞利用:CVE-2021-44228

利用手段

Aswarpot.sys、Netscan、PDQ deploy、AvosLocker、Mimikatz、Nmap、Impacket

应对措施

(1)进行定期备份,并将这些备份保存在离线设备中;

(2)在没有核实真实性的情况下,不要打开不受信任的链接和电子邮件附件;

(3)使用网络安全设备或组件阻断相关指示器。

参考信息

https://www.trendmicro.com/en_us/research/22/e/avoslocker-ransomware-variant-abuses-driver-file-to-disable-anti-Virus-scans-log4shell.html

Yours Truly, Signed AV Driver: Weaponizing an Antivirus Driver

网络安全情报事件二

F5发布补丁修复了严重的远程代码

执行漏洞

概述

云安全和应用交付网络(ADN)提供商F5周三发布了补丁,以解决覆盖其产品的43个漏洞。在这43个漏洞中,1个被评为严重,17个被评为高严重性,24个被评为中等严重性,1个被评为低严重性。其中最重要的漏洞是CVE-2022-1388,CVSS得分为9.8(满分10),这个漏洞是由于缺乏身份验证检查,可能允许攻击者控制受影响的系统。F5公司表示,该安全漏洞是在内部发现的,会影响某些版本的BIG-IP产品。其他F5产品如BIG-IQ Centralized Management、F5OS-A、F5OS-C和Traffix SDC不易受到CVE-2022-1388的攻击。

参考信息

https://thehackernews.com/2022/05/f5-warns-of-new-critical-big-ip-remote.html

网络安全情报事件三

俄罗斯与乌克兰冲突引发的网络攻击

情况观察

概述

随着2022年开始,俄罗斯与乌克兰之间冲突带来的的网络攻击活动加大,目标涉及金融、国防、航空和IT服务行业等行业。神州网云对此事件进行跟踪。根据我们跟进的情况,在此分享从我们的威胁数据平台中提取冲突相关的IOC数据。(此分享将会根据事态持续更新)。详细的内容见下列的IOC数据。

威胁分布

通用模板主题

0242ba17b636dedb5efff4d02d55fa3e

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/17390

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月6日 下午1:25
下一篇 2022年6月7日 下午12:57

相关推荐