【发布时间】2023-02-16 09:00:00 GMT

绿盟科技CERT近期监测到，欧洲多个安全机构发布了ESXiArgs勒索病毒的攻击预警，该病毒利用2021年披露的ESXi远程溢出漏洞（CVE-2021-21974）进行传播，根据网络空间测绘平台的数据统计，目前全球已有1800余台主机被感染，且绝大部分均分布于欧美等国家。

【发布时间】2023-02-15 23:00:00 GMT

2月15日，绿盟科技CERT监测到微软发布2月安全更新补丁，修复了75个安全问题，涉及Microsoft Exchange Server、Microsoft Word、Windows Graphics Component、Microsoft Publisher等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中，严重程度为关键（Critical）的漏洞有9个，重要（Important）漏洞有66个，其中包括3个0day漏洞.

https://nti.nsfocus.com/threatNotice

据南加州最大的医疗集团之一Regal Medical Group报道，在一次勒索软件攻击中，超过330万南加州人的个人健康信息被盗。Regal于2月1日向美国卫生与公众服务部报告了这起黑客事件，称其影响了多个附属医疗集团，包括湖畔医疗组织（Lakeside medical Organization）、奥兰治县附属医生（affiliated Doctors of Orange County）和大科维纳医疗集团（Greater Covina medical Group）。

2. 俄罗斯WhisperGate黑客使用恶意软件攻击乌克兰

安全研究人员说，他们最近观察到一个俄罗斯黑客团队，他们是破坏性的WhisperGate恶意软件网络攻击的幕后黑手，以一种新的信息窃取恶意软件为手段攻击乌克兰实体。TA471与WhisperGate有关，这是一种破坏性的数据清除恶意软件，在2022年1月针对乌克兰目标的多个网络攻击中使用。该恶意软件伪装成勒索软件，但使目标设备完全无法操作，即使支付赎金要求也无法恢复文件。

以色列Technion大学周日遭遇勒索软件攻击，迫使该大学主动屏蔽所有通信网络。一个自称为DarkBit的新组织声称对此次袭击负责。以色列顶尖大学之一Technion在推特上写道：Technion正在遭受网络攻击。攻击的范围和性质正在调查中。

作为可疑情报收集任务的一部分，中东的电信服务提供商正成为一名以前未经证实的威胁行为者的目标。研究人员分享的一份报告中表示：WIP26严重依赖公共云基础设施，试图通过使恶意流量看起来合法来逃避检测。这包括滥用Microsoft 365 Mail、Azure、Google Firebase和Dropbox进行恶意软件交付、数据过滤和指挥控制（C2）。攻击中使用的初始入侵向量需要通过WhatsApp消息对员工进行精确定位，该消息包含指向所谓良性存档文件的Dropbox链接。实际上，这些文件包含一个恶意软件加载器，其核心功能是部署基于.NET的自定义后门，如CMD365或CMDEmber，这些后门利用Microsoft 365 Mail和Google Firebase for C2。

5. ESXiArgs勒索软件在欧洲国家达到500多个新目标

超过500台主机最近被ESXiArgs勒索软件毒株危害，其中大多数位于法国、德国、荷兰、英国和乌克兰。这一发现来自攻击表面管理公司Censys，该公司发现两台主机的勒索笔记惊人相似，可追溯到2022年10月中旬，当时ESXi 6.5和6.7版本即将到期。第一批感染可追溯到2022年10月12日，比2023年2月初该运动开始获得关注的时间要早得多。然后在2023年1月31日，据说这两个主机上的赎金记录已更新为与当前浪潮中使用的版本相匹配的修订版本。

在阿塞拜疆和亚美尼亚之间日益紧张的局势中，发现了针对亚美尼亚实体的恶意活动。活动中使用的恶意软件旨在远程控制受损机器并执行监视操作。分析表明，这些攻击者的目标是亚美尼亚目标的公司环境。

根据发送给消费者的通知，克鲁克人已经侵入了百事瓶装风险投资公司的网络，并在部署了窃取信息的恶意软件后，窃取了敏感的个人和财务信息。违约发生在2022年12月23日或前后。据我们所知，美国最大的百事可乐饮料制造商和分销商百事瓶装风险投资公司直到1月10日才发现这一未经授权的活动。首席执行官在一封违约通知信（PDF）中写道：我们迅速采取行动，控制了事件并保护了我们的系统。初步调查确定，入侵者访问了内部IT系统，安装了恶意软件，并下载了受感染系统中包含的特定信息。根据通知，这些信息包括姓名、家庭地址、电子邮件地址、政府颁发的身份证明（包括驾照号码、社会保险号码和护照信息）。此外，骗子窃取了一些财务信息，包括有限数量的人的密码、PIN码和其他访问号码，以及数字签名、福利和就业信息、健康保险索赔和保单号码。

8. 黑客使用新的IceBreaker恶意软件攻击博彩公司

黑客们近期一直在攻击在线博彩公司，他们使用了一种似乎前所未见的后门，研究人员将其命名为IceBreaker（破冰船）。这种攻击方法依赖这种手段：黑客以面临问题的用户为幌子，欺骗客户服务工作人员打开他们发送的恶意截图。这种攻击至少从2022年9月以来就出现了。其背后的组织依然身份不明，只有依稀模糊的线索指明其源头。研究人员认为，IceBreaker后门是一个新的高级威胁团伙的杰作，他们使用了一种非常特别的社会工程伎俩技术。

9. TgToxic恶意软件专门针对东南亚Android用户