病毒警訊TOP 10

熱門病毒通告

亞信安全熱門病毒綜述 - Ransom.Win32.SHADE.THBBGAI

該勒索病毒由其它惡意軟件生成或者用戶訪問惡意網(wǎng)站不經(jīng)意下載感染本機(jī)，其添加如下注冊表啟動(dòng)項(xiàng)目值，以便在每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Client Server Runtime Subsystem = "%All Users Profile%\Windows\csrss.exe"

此勒索病毒連接到以下URL以獲取受害系統(tǒng)的IP地址：

http://whatismyipaddress.com/

http://whatsmyip.net/

它連接到以下網(wǎng)站以發(fā)送和接收信息：

http://{BLOCKED}p2xzclh6fd.onion/{Path}

其加密系統(tǒng)中的文件，并使用如下文件名重命名被加密的文件：

{Random Filename}.{ID}.crypted000007

對該病毒的防護(hù)可以從下述鏈接中獲取最新版本的病毒碼：18.113.60

https://console.zbox.filez.com/l/2n6wBS

警惕！9.8分漏洞來襲，Cacti命令執(zhí)行漏洞風(fēng)險(xiǎn)通告

近日，亞信安全CERT監(jiān)控到Cacti存在命令執(zhí)行漏洞（CVE-2022-46169），漏洞細(xì)節(jié)已公開。該漏洞存在于remote_agent.php文件中，無需身份驗(yàn)證即可訪問此文件，攻擊者可通過設(shè)置網(wǎng)絡(luò)頭HTTP_變量繞過身份驗(yàn)證，觸發(fā)polldata功能，當(dāng)get_nfilter_request_var()函數(shù)檢索的參數(shù)$poller_id滿足特定條件時(shí)，可觸發(fā)proc_open()函數(shù)，從而導(dǎo)致命令執(zhí)行。此命令注入漏洞允許未經(jīng)身份驗(yàn)證的用戶在構(gòu)造惡意請求的情況下執(zhí)行任意命令。

對此，目前廠商已發(fā)布修復(fù)補(bǔ)丁，但暫未發(fā)布版本更新。鑒于該漏洞受影響面較大，亞信安全CERT建議使用Cacti的用戶及時(shí)關(guān)注官方更新，參照官方修復(fù)方案盡快采取相關(guān)措施，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

勒索猛如虎，比利時(shí)大城市數(shù)字服務(wù)被迫中斷

近日，由于合作的數(shù)字供應(yīng)商日前遭受網(wǎng)絡(luò)攻擊，西歐國家比利時(shí)的安特衛(wèi)普市的數(shù)字服務(wù)被迫中斷，目前正努力恢復(fù)。服務(wù)中斷影響到當(dāng)?shù)厥忻?、學(xué)校、日托中心和警署所使用的服務(wù)。截至目前，各項(xiàng)服務(wù)仍處于時(shí)斷時(shí)續(xù)的不穩(wěn)定狀態(tài)。

據(jù)悉，電子郵件和電話系統(tǒng)均已中斷，針對這起事件的調(diào)查正在進(jìn)行中。從已公布的少量信息來看，造成服務(wù)中斷的應(yīng)該是勒索軟件攻擊，但幕后黑手是誰尚不明確。

加拿大肉類加工商 Maple Leaf Foods 遭到勒索攻擊

Black Basta 勒索組織將加拿大肉類加工商 Maple Leaf Foods 列為其受害者，并在數(shù)據(jù)泄露網(wǎng)站上發(fā)布了一些與竊取的文件相關(guān)的截圖，但并未具體說明數(shù)據(jù)泄露的總量。

隨后，Maple Leaf Foods公司對此發(fā)表聲明，稱攻擊者威脅并要求支付贖金，但是破壞系統(tǒng)并可能使信息面臨泄露風(fēng)險(xiǎn)的非法行為是不能容忍的，因此公司不會(huì)向網(wǎng)絡(luò)犯罪分子支付贖金，并要求社會(huì)各界人士不要利用這些數(shù)據(jù)進(jìn)行違法行為。聲明中同時(shí)提到，該公司在與專家進(jìn)行合作后，已經(jīng)能夠快速、安全地恢復(fù)其 IT 系統(tǒng)。

伊朗組織針對美國智庫展開網(wǎng)絡(luò)釣魚和憑據(jù)竊取攻擊

近期，研究人員監(jiān)測發(fā)現(xiàn)伊朗組織 Iran-Nexus TAG-56 針對美國華盛頓研究所智囊團(tuán)展開的網(wǎng)絡(luò)釣魚和憑據(jù)竊取攻擊。該活動(dòng)利用 URL 縮短器將受害者引導(dǎo)至竊取憑據(jù)的惡意頁面。這種交互攻擊手法常見于 APT42 和 Phosphorus 等伊朗背景的高級持續(xù)威脅 (APT) 組織。

Hive勒索組織黑五期間攻擊歐洲零售商，已累計(jì)攻擊1300家公司

近日，Hive勒索軟組織對外公布了其在11月份對法國體育零售商Intersport的攻擊中獲得的客戶數(shù)據(jù)。

這個(gè)臭名昭著的勒索組織周一在其暗網(wǎng)泄露網(wǎng)站上發(fā)布了一批Intersport數(shù)據(jù)，并威脅說除非零售商支付勒索費(fèi)，否則將泄露更多數(shù)據(jù)。據(jù)法國《世界報(bào)》報(bào)道，黑客攻擊包括法國北部商店的Intersport員工的護(hù)照信息、他們的工資單、其他商店的離職和在職員工名單，以及社會(huì)保險(xiǎn)號碼。

OPERA1ER 組織瞄準(zhǔn)非洲銀行和金融機(jī)構(gòu)展開攻擊

據(jù)悉， OPERA1ER 組織針對非洲銀行和金融機(jī)構(gòu)的網(wǎng)絡(luò)釣魚系列攻擊活動(dòng)。該組織是一個(gè)講法語，具有經(jīng)濟(jì)動(dòng)機(jī)的黑客組織，旨在瞄準(zhǔn)支付網(wǎng)關(guān)、SWIFT交易系統(tǒng)展開攻擊，其活動(dòng)最早可追溯至2016年。

該組織最早由瑞士郵政公司披露，命名為 DESKTOP，2020年10月SWIFT協(xié)會(huì)將其命名為Common Raven。隨后，Group-IB的研究人員在研究一封電子郵件后將該團(tuán)伙命名為 OPERA1ER。

（以上部分資訊來源于網(wǎng)絡(luò)）