Armis披露PTS系统中的统称为PwnedPiper的漏洞;CyCraft发布针对勒索AppPrometheus的免费解密器

发布时间 2021-08-03
1.Armis披露PTS系统中的统称为PwnedPiper的漏洞


1.jpg


安全企业Armis披露SwissLog的TransLogic PTS(气动管系统) 中统称为PwnedPiper的9个漏洞,影响全美80%的医院。TransLogic PTS用于在大中型医院中长距离运送医疗物品,已在北美2300多家医院使用。这些漏洞中最严重的是未经身份验证、未加密、未签名的固件升级漏洞(CVE-2021-37160),可用来在系统上安装恶意固件来完全控制目标系统。此外,还有提权漏洞(CVE-2021-37167)、DoS漏洞(CVE-2021-37166)和tcpTxThread中的三倍堆栈溢出(CVE-2021-37164)等漏洞。


原文链接:

https://thehackernews.com/2021/08/pwnedpiper-pts-security-flaws-threaten.html


2.Kaspersky披露新的GhostEmperor团伙针对东南亚


2.jpg


Kaspersky披露了一个新的黑客团伙GhostEmperor,主要针对东南亚地区的目标,包括政府机构和几家电信企业。该团伙的入侵活动依赖于Cheat Engine开源项目的一个组件,它能够绕过Windows驱动程序强制签名机制。该团伙之所以与众不同,是因为它使用了一个以前不为人知的Windows内核模式的rootkit,并且采用了复杂的多阶段恶意App框架,旨在对目标服务器进行远程控制。


原文链接:

https://securityaffairs.co/wordpress/120721/apt/ghostemperor-chinese-speaking-threat-actor.html


3.Cisco披露恶意AppSolarmarker新一轮的攻击活动


3.jpg


Cisco Talos披露了恶意AppSolarmarker新一轮的攻击活动。在2021年5月底和6月初左右,Talos检测到新一轮Solarmarker攻击活动激增。在最近的这些迭代中,攻击者调整了初始dropper的下载方法,并对staging组件(现在称为Mars)进行了升级。以前Solarmarker将从带有通用标题名称PdfDocDownloadsPanel的页面下载,而此次活动中的下载页面现伪造成来自GOOGLEDrive的下载文件请求,看起来更加合法。


原文链接:

https://blog.talosintelligence.com/2021/07/threat-spotlight-solarmarker.html


4.CyCraft发布针对勒索AppPrometheus的免费解密器


4.jpg


安全企业CyCraft发布免费解密器,帮助勒索AppPrometheus的受害者恢复和解密文件。CyCraft表示,Prometheus使用了Salsa20和基于tickcount的随机密码来加密文件。随机密码的大小为32字节,每个字符都是可见字符,并且因为密码以tickcount作为密钥,所以可以使用暴力破解。Emsisoft企业表示该解密器唯一的缺点是只能破解小文件的解密密钥。此外,解密器发布不久后,Prometheus团伙似乎已经停止了行动。


原文链接:

https://therecord.media/decryptor-released-for-prometheus-ransomware-victims/


5.SonicWall发布2021年上半年网络态势的分析报告


5.jpg


SonicWall发布了2021年上半年网络态势的分析报告。报告指出,勒索App攻击在2021年上半年十分猖獗,该企业检测到的攻击尝试达到3.047亿次, 超过了2020全年的攻击总数。美国、英国、德国、南非和巴西等国家是受勒索App攻击最严重的国家,其中美国受影响较大的地区是佛罗里达州,有1.111亿次攻击尝试。此外,勒索攻击最常见的目标是金融机构以及国防等重要的政府组织,而针对教育行业的攻击则激增了615%。


原文链接:

https://www.sonicwall.com/2021-cyber-threat-report/


6.Deepinstinct发布2021年中网络威胁态势分析报告


6.jpg


Deep Instinct发布了2021年中网络威胁态势分析报告。报告指出,勒索App一直是整个2021年的主导趋势,其中主要威胁为STOP(Djvu)、Ryuk和Sodinokibi(REvil)等。银行木马活动的主要威胁为Emotet的继任者,例如Ramnit、Qbot和IcedID。此外,针对Colonial Pipeline的攻击成为全球的焦点,但这只是攻击关键基础设施的众多攻击尝试之一,并且预计这种攻击策略近期内不会发生改变。


原文链接:

https://www.deepinstinct.com/2021/07/22/2021-mid-year-cyber-threat-landscape-report/