美国海军承包商FMG遭到勒索攻击导致运营暂时中断

首页 > 宁静研究 > 宁静通报 > 宁静简讯

美国海军承包商FMG遭到勒索攻击导致运营暂时中断

宣布时间 2023-04-25

1、美国海军承包商FMG遭到勒索攻击导致运营暂时中断

据媒体4月21日报道，美国海军承包商Fincantieri Marine Group(FMG)遭到勒索攻击，影响了其电子邮件服务器和部门系统。攻击发生在4月12日清晨，该造船厂透露，攻击针对的服务器主要用于生存向其计算机数控制造设备提供指令的数据，导致它们宕机数天。目前没有员工的个人信息受到影响。美国海军在一份声明中体现，FMG已接纳措施进行响应，海军正在积极监督这些事情。

https://www.infosecurity-magazine.com/news/us-navy-contractor-cyberattack/

2、斯坦福等多所大学的网站被黑并分发Fortnite垃圾邮件

据4月21日报道，美国多所大学的网站被黑并分发碉堡之夜（Fortnite）和礼品卡垃圾邮件。涉及斯坦福大学、麻省理工学院、伯克利大学和加州理工学院等大学，这些网站似乎在运行TWiki或MediaWiki。这些wiki页面据称是由垃圾邮件发送者上传的，声称提供免费礼品卡、Fortnite Bucks和作弊器等。它们会加载伪装成Fortnite页面的钓鱼网页，或允许提供礼品卡的虚假的视察。此外，该活动还针对巴西某州政府的一个小型网站，以及欧盟的Europa.eu。

https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/

3、Infoblox通过异常DNS流量检测发现新的Decoy Dog

Infoblox于4月20日称，他们在检测异常DNS流量后，发现了一种新的恶意软件工具包Decoy Dog。该工具旨在资助攻击者通过战略性的域名老化和DNS查询运载来绕过检测，其DNS指纹在互联网上3.7亿个活跃域中极为罕见。对该工具基础设施的视察发现了几个与同一行动有关的C2域，它们的大部门通信来自俄罗斯的主机。这些域名的DNS隧道具有指向Pupy RAT的特征，这是一个由Decoy Dog工具包部署的远程访问木马。

https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/

4、Aqua披露利用Kubernetes RBAC的大规模挖矿活动

Aqua在4月21日称其发现了一个大规模的挖矿活动，利用了Kubernetes(K8s)基于角色的访问控制(RBAC)创建后门并运行矿工。通过利用RBAC实施恶意访问控制计谋，即使提供初始访问的错误配置在未来得到修复，攻击者也可以在被熏染的集群上连续存在。攻击链利用配置错误的API服务器进行初始访问，然后发送HTTP请求以列出机密，并发出API请求以通过列出命名空间kube-system中的实体来收集有关集群的信息。此外，攻击者还安装DaemonSets来接管和劫持被攻击的K8s集群的资源。

https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters

5、研究团队发现利用Google Ads分发BumbleBee的活动

4月20日，SecureWorks披露了利用Google Ads和SEO中毒分发BumbleBee的活动。研究人员发现一个Google Ad宣传了虚假的Cisco AnyConnect宁静移动客户端下载页面，它创建于2月16日，托管在appcisco[.]com域上。该页面推广木马化MSI安装法式cisco-anyconnect-4_9_0195.msi，它会安装恶意软件BumbleBee。此外，研究人员还发现了其它具有类似对应文件名称的软件包，例如ZoomInstaller.exe和zoom.ps1，ChatGPT.msi和chch.ps1，以及CitrixWorkspaceApp.exe和citrix.ps1。

https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads

6、Huntress宣布PaperCut漏洞利用活动的分析陈诉

4月21日，Huntress宣布陈诉，称其发现了利用PaperCut MF/NG漏洞的活动。这两个漏洞（CVE-2023-27350和CVE-2023-27351）可被远程攻击者用于以SYSTEM权限在被熏染的PaperCut服务器上执行任意代码。研究人员发现从PaperCut软件中生成的PowerShell命令，用于安装Atera和Syncro等RMM软件，以便在目标主机连续访问和执行代码�；∩枋┓治龇⑾�，托管这些工具的域名于4月12日注册，也托管TrueBot等恶意软件，后者与俄罗斯Silence团伙有关。

https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究