APT29利用Windows功能入侵欧洲外交部门的网络【信息安全三分钟】2022.11.14

信息安全三分钟

盘点24小时内最新信息安全事件，旨在帮助安全工作者能够快速、高效抵御安全威胁。

一个欧洲外交部门遭到了网络钓鱼攻击，研究人员从中发现APT29利用了Windows的凭据漫游功能，并针对Active Directory执行了大量的异常LDAP查询。经过进一步的调查后，研究人员发现了一个任意文件写入漏洞，该漏洞被标记为CVE-2022-30170，CVSS评分为7.3。攻击者可以利用此漏洞实现远程代码执行，并可以获得远程交互式登录权限，普通账户通常不会拥有这样的权限。

自10月以来，乌克兰和波兰的运输物流行业遭受了一系列的Prestige勒索软件攻击，研究人员认为这些攻击与Sandworm黑客组织相关。研究人员在报告中表示攻击组织通过多种方式部署Prestige勒索软件，包括使用Windows计划任务、经过编码的PowerShell命令和默认域组策略对象。

研究人员发现近期出现一个活跃的勒索骗局，攻击者发送主题为”您的网站、数据库和电子邮件已经被黑客入侵“的电子邮件，并要求2500美元的赎金。这些电子邮件似乎并没有针对性，会发送给个人博主、政府机构和各家大公司，并且在勒索信中附有两个比特币地址。尽管此次事件只是一个骗局，但是研究人员已经在其中的一个钱包地址中发现了比特币交易，这表明已经有受害者遭受到了欺骗。

研究人员称，瑞士工业技术公司ABB制造的石油和天然气流量计算机中存在安全漏洞，该漏洞可能允许攻击者造成中断并阻止公用事业公司向其客户收费，被标记为CVE-2022-0902。石油和天然气计算机常用于电力部门，在过程安全管理和计费方面发挥着重要的作用。整个漏洞攻击链允许未经验证的攻击者以root权限执行任意代码，攻击者可以完全控制设备并破坏其测量石油和天然气流量的能力，以此阻止受害公司向其客户收费。

苹果发布了iOS和macOS的安全补丁，以解决libxml2库中的两个任意代码执行漏洞。libxml2由C语言编写，最初为Gnome项目开发，是一个用于解析XML文档的软件库。这两个漏洞被标记为CVE-2022-40303和CVE-2022-40304，可能导致远程代码执行。苹果公司没有提及漏洞是否被恶意利用，然而针对CVE-2022-40303的PoC代码和关于CVE-2022-40304的完整技术细节已经被公布在网络中。

点击下方公众号即可快速关注