NCC发现Clop利用SolarWinds Serv-U中RCE的活动

发布时间 2021-11-12

ESET发现Lazarus利用盗版的IDA Pro分发恶意App


ESET发现Lazarus利用盗版的IDA Pro分发恶意App.png


ESET团队于11月10日发现朝鲜黑客团伙Lazarus利用盗版IDA Pro攻击安全研究人员的活动。研究人员通常使用逆向工程应用IDA Pro来分析漏洞和恶意App,而此次发现的IDA Pro 7.5版本包含了两个名为idahelp.dll和win_fw.dll的恶意DLL。其中,win_fw.dll将在Windows任务调度程序中创建一个新任务,该任务将启动idahelper.dll,然后idahelper.dll将连接到devguardmap[.]org网站并下载远程访问木马NukeSped的payload。


原文链接:

https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/


统称为NUCLEUS:13的多个漏洞影响西门子RTOS


统称为NUCLEUS13的多个漏洞影响西门子RTOS.png


Forescout和Medigate的研究人员在11月9日披露了Nucleus中13个漏洞的细节。Nucleus是西门子的实时操作系统(RTOS),通常运行在医疗设备、汽车、智能手机、物联网设备、工业plc等设备的片上系统(SoC)。这些漏洞统称为NUCLEUS:13,影响了Nucleus TCP/IP堆栈。其中,最严重的是影响了FTP服务器组件的远程代码实行漏洞(CVE-2021-31886),CVSS评分为9.8,是由于对USER命令长度的验证不正确导致的。


原文链接:

https://therecord.media/nucleus13-vulnerabilities-impact-siemens-medical-industrial-equipment/


SAP发布11月份周二补丁,修复多个安全漏洞


SAP发布11月份周二补丁修复多个安全漏洞.png


SAP在11月9日发布了本月的周二补丁,修复了多个安全漏洞。此次修复的最严重的漏洞是ABAP平台内核中由于缺失授权检查导致的提权漏洞(CVE-2021-40501),CVSS评分为9.6。安全企业Onapsis称,该漏洞可以通过RFC和HTTP通信影响其它系统的可信连接,攻击者可利用其在其它系统中实行特定的逻辑。此外,还修复了Commerce中的提权漏洞(CVE-2021-40502)。


原文链接:

https://www.securityweek.com/sap-patches-critical-vulnerability-abap-platform-kernel


NCC发现Clop利用SolarWinds Serv-U中RCE的活动


NCC发现Clop利用SolarWinds Serv-U中RCE的活动.png


NCC Group于11月8日称,在过去几周中勒索AppClop的感染量有所增加,并且大多数都利用了漏洞CVE-2021-35211。该漏洞是Serv-U Managed File Transfer和Serv-U Secure FTP中的远程代码实行漏洞,SolarWinds在2021年7月份发布了紧急更新修复该漏洞,并称仅影响了启用SSH功能的客户。在此次活动中,攻击者利用Serv-U生成了一个由其控制的子进程,并在目标系统上实行命令。


原文链接:

https://research.nccgroup.com/2021/11/08/ta505-exploits-solarwinds-serv-u-vulnerability-cve-2021-35211-for-initial-access/


德国医疗App企业Medatixx确认其遭到勒索攻击


德国医疗App企业Medatixx确认其遭到勒索攻击.png


Medatixx企业11月9日确认其在上周遭到了勒索攻击。Medatixx是一家德国的医疗App企业,它的产品被用于21000多家医疗机构。该企业称,攻击仅影响了他们的内部IT系统,没有影响客户的PVS(实践管理系统)。目前尚未确定攻击者窃取了哪些数据,但可能已经获取了Medatixx客户的密码,因此Medatixx建议客户立即更改其应用程序的密码。企业仍在恢复中,截至目前只恢复了邮件和电话系统。


原文链接:

https://www.bleepingcomputer.com/news/security/medical-software-firm-urges-password-resets-after-ransomware-attack/


ACTI和PACT发布关于Lyceum近期活动的分析报告


ACTI和PACT发布关于Lyceum近期活动的分析报告.png


11月9日,Accenture的ACTI团队和Prevailion的PACT团队联合发布了关于Lyceum近期活动的分析报告。报告指出,伊朗黑客团伙Lyceum主要专注于间谍活动,在2021年7月至10月期间,曾攻击了以色列、摩洛哥、突尼斯和沙特阿拉伯的ISP和电信运营商,以及非洲的外交部(MFA)。Lyceum的初始攻击媒介为凭证填充攻击和暴力攻击,在入侵成功后会安装后门Shark和Milan(统称为James)。


原文链接:

https://www.accenture.com/us-en/blogs/cyber-defense/iran-based-lyceum-campaigns