先进攻防情报精选-第3期
2023-2-25 11:56:15 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

  • Arctic Wolf Labs 团队公布了勒索团伙Lorenz的调查报告,揭露了一些最新的勒索TTP
  • Fortinet FortiNAC漏洞在细节被公布的几个小时内就被大规模利用
  • IBM X-Force红队发布Direct Kernel Object Manipulation (DKOM) 攻击调研报告
  • CISA将IBM Aspera Faspex代码执行漏洞(CVE-2022-47986)添加到KEV目录中 
Arctic Wolf Labs 团队公布了勒索团伙Lorenz的调查报告,揭露了一些最新的勒索TTP

Lorenz的初始入侵使用了Mitel MiVoice VoIP 设备作为跳板,也使用盗取的VPN账户进入内网。他们在端点上使用了BYOVD技术利用有漏洞的驱动程序,使用正规的内存取证工具Magnet RAM Capture盗取凭据,这些手法都绕过了某知名厂商EDR的防护。

https://arcticwolf.com/resources/blog/lorenz-ransomware-getting-dumped/

Fortinet FortiNAC漏洞在细节被公布的几个小时内就被大规模利用

Fortinet FortiNAC漏洞(CVE-2022-39952)是一个任意文件写入漏洞,由Fortinet内部安全人员发现,在安全补丁发布的同时马上就被安全厂商diff出了细节,相应的漏洞细节也被黑客获悉,在几小时内针对互联网目标大规模利用。

https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/

IBM X-Force红队发布Direct Kernel Object Manipulation (DKOM) 攻击调研报告

目前端点攻防的焦点都放到了端点安全检测、遥测的压制,这篇文章总结了目前攻击者利用BYOVD攻击(签名驱动漏洞)在内核空间中执行DKOM的大部分方式。

https://securityintelligence.com/posts/direct-kernel-object-manipulation-attacks-etw-providers/

CISA将IBM Aspera Faspex代码执行漏洞(CVE-2022-47986)添加到KEV目录中

数十家大型组织机构和企业都使用了IBM Aspera Faspex文件传输工具,CISA表示该漏洞对联邦企业构成重大风险。

https://therecord.media/ibm-aspera-faspex-bug-cisa-known-vulnerability-list/

该工具使用Ruby on Rails开发,漏洞细节在数周前已公布

https://blog.assetnote.io/2023/02/02/pre-auth-rce-aspera-faspex


文章来源: https://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649907987&idx=1&sn=e13bc9f6678796fbdede4830baa0d23f&chksm=f18eea15c6f96303dd267bc81332f760d0da84492d06dff18721d9a2eb6eafc4110c9ebe665b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh