威胁周报！勒索猛如虎，国际大城市数字服务被迫中断

　　

　　病毒警讯TOP 10

　　

　　热门病毒通告

　　亚信安全热门病毒综述 - Ransom.Win32.SHADE.THBBGAI

　　该勒索病毒由其它恶意软件生成或者用户访问恶意网站不经意下载感染本机，其添加如下注册表启动项目值，以便在每次系统启动时自动执行：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　Client Server Runtime Subsystem = "%All Users Profile%Windowscsrss.exe"

　　此勒索病毒连接到以下URL以获取受害系统的IP地址：

　　http://whatismyipaddress.com/

　　http://whatsmyip.net/

　　它连接到以下网站以发送和接收信息：

　　http://{BLOCKED}p2xzclh6fd.onion/{Path}

　　其加密系统中的文件，并使用如下文件名重命名被加密的文件：

　　{Random Filename}.{ID}.crypted000007

　　对该病毒的防护可以从下述链接中获取最新版本的病毒码：18.113.60

　　https://console.zbox.filez.com/l/2n6wBS

　　

　　警惕！9.8分漏洞来袭，Cacti命令执行漏洞风险通告

　　近日，亚信安全CERT监控到Cacti存在命令执行漏洞（CVE-2022-46169），漏洞细节已公开。该漏洞存在于remote_agent.php文件中，无需身份验证即可访问此文件，攻击者可通过设置网络头HTTP_变量绕过身份验证，触发polldata功能，当get_nfilter_request_var()函数检索的参数$poller_id满足特定条件时，可触发proc_open()函数，从而导致命令执行。此命令注入漏洞允许未经身份验证的用户在构造恶意请求的情况下执行任意命令。

　　对此，目前厂商已发布修复补丁，但暂未发布版本更新。鉴于该漏洞受影响面较大，亚信安全CERT建议使用Cacti的用户及时关注官方更新，参照官方修复方案尽快采取相关措施，做好资产自查以及预防工作，以免遭受黑客攻击。

　　

　　勒索猛如虎，比利时大城市数字服务被迫中断

　　近日，由于合作的数字供应商日前遭受网络攻击，西欧国家比利时的安特卫普市的数字服务被迫中断，目前正努力恢复。服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前，各项服务仍处于时断时续的不稳定状态。

　　据悉，电子邮件和电话系统均已中断，针对这起事件的调查正在进行中。从已公布的少量信息来看，造成服务中断的应该是勒索软件攻击，但幕后黑手是谁尚不明确。

　　加拿大肉类加工商 Maple Leaf Foods 遭到勒索攻击

　　Black Basta 勒索组织将加拿大肉类加工商 Maple Leaf Foods 列为其受害者，并在数据泄露网站上发布了一些与窃取的文件相关的截图，但并未具体说明数据泄露的总量。

　　随后，Maple Leaf Foods公司对此发表声明，称攻击者威胁并要求支付赎金，但是破坏系统并可能使信息面临泄露风险的非法行为是不能容忍的，因此公司不会向网络犯罪分子支付赎金，并要求社会各界人士不要利用这些数据进行违法行为。声明中同时提到，该公司在与专家进行合作后，已经能够快速、安全地恢复其 IT 系统。

　　伊朗组织针对美国智库展开网络钓鱼和凭据窃取攻击

　　近期，研究人员监测发现伊朗组织 Iran-Nexus TAG-56 针对美国华盛顿研究所智囊团展开的网络钓鱼和凭据窃取攻击。该活动利用 URL 缩短器将受害者引导至窃取凭据的恶意页面。这种交互攻击手法常见于 APT42 和 Phosphorus 等伊朗背景的高级持续威胁 (APT) 组织。

　　Hive勒索组织黑五期间攻击欧洲零售商，已累计攻击1300家公司

　　近日，Hive勒索软组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。

　　这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据，并威胁说除非零售商支付勒索费，否则将泄露更多数据。据法国《世界报》报道，黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单，以及社会保险号码。

　　OPERA1ER 组织瞄准非洲银行和金融机构展开攻击

　　据悉， OPERA1ER 组织针对非洲银行和金融机构的网络钓鱼系列攻击活动。该组织是一个讲法语，具有经济动机的黑客组织，旨在瞄准支付网关、SWIFT交易系统展开攻击，其活动最早可追溯至2016年。

　　该组织最早由瑞士邮政公司披露，命名为 DESKTOP，2020年10月SWIFT协会将其命名为Common Raven。随后，Group-IB的研究人员在研究一封电子邮件后将该团伙命名为 OPERA1ER。

　　（以上部分资讯来源于网络）

　　举报/反馈