2023年8月的網絡安全威脅影響企業

我們使數千個安全性變得簡單且輕鬆
全球網站和企業.

最近的網絡攻擊 – 2023年

Nivedita James

Nivedita是Astra的技術作家,他對知識有著深厚的熱愛,並且在本質上都很好奇. 她內心的一個狂熱的讀者,她發現她呼喚有關SEO,Robotics和目前網絡安全的文章.

該站點使用Akismet減少垃圾郵件. 了解如何處理評論數據.

0評論
內聯反饋
查看所有評論

相關文章

基於風險的脆弱性管理

連續的脆弱性掃描

紅隊與藍隊

PSST! 你好呀. 我們是阿斯特拉.

我們使數千個安全性變得簡單且輕鬆
全球網站和企業.

我們的安全產品套件包括脆弱性掃描儀,防火牆,惡意軟件掃描儀和五旬節,以保護您的網站免受互聯網上的邪惡勢力,即使您睡覺.

  • 得到一個五旬節
  • 保護您的網站

地球 蜘蛛 牌 錯誤蜘蛛

我們使全球成千上萬的網站和企業變得簡單且輕鬆.

請參閱我們的發光評論

五旬節

  • 特徵
  • 網絡五旬節
  • 移動五旬節
  • 雲pent
  • 區塊鏈五旬節
  • 網絡五旬節

網站保護

  • 特徵
  • 用於機構
  • WordPress保護
  • 洋紅色保護
  • Prestashop保護
  • OpenCart保護

公司

資源

  • Astra安全博客
  • 黑名單檢查器
  • 網站掃描儀
  • SEO垃圾郵件檢查器
  • 安全課程

用❤️製成

版權所有©2022 Astra It,Inc. 版權所有.

2023年8月的網絡安全威脅影響企業

2023年8月的網絡安全威脅影響企業

網絡安全和數字取證

網絡安全威脅正在迅速增加. 結果,公司領導者需要更加了解其整體網絡安全策略的潛在缺陷. 作為Marcum Technology SoC服務的一部分提供的威脅狩獵查詢是確定組織環境中潛在威脅的關鍵.

以下是過去一個月出現的前四個威脅.

Blackbyte 2.0

勒索軟件攻擊對於全球組織的範圍和嚴重性都是一個日益嚴重的問題. 微軟的事件響應小組調查了最近的Blackbyte 2.0勒索軟件攻擊,揭示了這些網絡罷工的驚人速度和破壞性性質. 調查結果表明,黑客可以在短短五天內實現造成重大損害的初步訪問,從而執行整個攻擊過程. 他們迅速滲透系統,加密至關重要的數據,並要求贖金以釋放. 凝結時間表對努力防禦這些惡意行動的組織構成了重大挑戰.

BlackByte勒索軟件在攻擊的最後階段使用,使用8位數字密鑰來加密數據. 攻擊者使用有效的工具和技術組合,利用未撥打的Microsoft Exchange服務器來訪問並為其惡意活動奠定基礎. 處理空心,防病毒逃避策略,用於遠程訪問的網絡外殼以及用於命令和控制操作的鈷罷工信標進一步增強其功能,使組織更難防禦他們. 此外,網絡犯罪分子採用“活地”工具來偽裝他們的活動並避免檢測. 他們修改感染機上的音量陰影副本,以防止通過系統還原點進行數據恢復,並在初始妥協之後將自定義後門持續訪問以持續訪問.

隨著勒索軟件攻擊變得更加頻繁和復雜,如果組織沒有充分準備,威脅行為者可能會迅速中斷業務運營. 這些攻擊的嚴重程度需要全球組織立即採取行動,並且在回應這些發現時,微軟提供了實用的建議. 它鼓勵實施強大的補丁管理程序,以儘早應用關鍵安全更新. 啟用篡改保護也至關重要,因為它加強了安全解決方案,以防止惡意禁用或繞過它們. 通過遵循最佳實踐,例如維護最新系統和限制行政特權,組織可以大大減輕Blackbyte勒索軟件攻擊的風險和其他類似的威脅.

利用DLL側載C2的氮氣活動

在最近的一項名為“氮”的運動中,DLL側載被認為是C2 Communications的利用. 這次攻擊不是通常的網絡釣魚向量,而是從折衷的WordPress網站下載開車開始. 該文件,一個ISO映像,包含一個必須由最終用戶手動執行的安裝文件. 然後,安裝程序繼續加載MSI.DLL文件並解密隨附的數據文件. 嵌入的python分佈和DLL被刪除,以在用戶的​​C中加載,以\ users \ public \ public \ music \ python路徑.

然後,惡意軟件創建了一個計劃的任務:“OneDrive安全任務S-1-5-21-5678566754-9123742832-2638705499-2003”,運行Pythonw.EXE文件. 這使惡意軟件持久性. 任務時間表以觸發系統啟動,並於2029年12月1日到期.

建立了持久性,惡意軟​​件可以執行其職責. 已經看到使用DLL側載以保持與C2服務器的持續連接,並甚至可以檢索壓縮/編碼數據,然後在本地執行它.

在某一時刻觀察到鈷罷工是選定的有效載荷,看來其他人也可以實施. 該惡意軟件當然有可能造成巨大傷害,但是在此廣告系列中,安慰是用戶必須手動通過折衷網站下載下載的文件執行文件. 但是,這始終可以通過網絡釣魚來交付,該網絡釣魚仍然是最常見的向量之一,因此它的寬鬆和有效性.

更新的Lazarus惡意軟件發行

研究人員發現,由全國資助的集團拉撒路(Lazarus)正在攻擊Windows Internet信息服務(IIS)網絡服務器,並使用它們來傳播惡意軟件. 該小組以使用澆水孔技術來獲得初始通道而聞名. 當掃描檢測具有脆弱版本的服務器時,它們使用適合該版本的漏洞安裝Webshel​​l,下載文件或執行命令. 最近確定的攻擊表明,Lazarus威脅集團的惡意軟件菌株是由W3WP產生的.EXE,IIS Web服務器流程. W3WP生成的惡意軟件.EXE流程是Usopriv.Exe,一種包裝themida的Juicypotato惡意軟件.

馬鈴薯惡意軟件菌株負責特權升級. 根據特權升級方法. 馬鈴薯菌株通過激活某些特權而濫用過程來升級特權. 之後,威脅演員可以使用高架特權執行惡意行動. Whoami命令用於檢查是否實現了特權升級. 還發現日誌表明負責實際惡意行為的負載惡意軟件已被執行. 加載程序為DLL格式,因此使用Rundll32執行它. 加載程序解密要使用的數據的文件名,並獲得字符串. 該字符串是數據文件的名稱,該數據在總共三個路徑中搜索. 然後,加載程序惡意軟件解密加密的數據文件並在內存區域執行它們.

還可以使用各種其他攻擊向量來初始訪問,例如聯合證書漏洞和3CX供應鏈攻擊,也可以看到Lazarus組. 這是當前運營的最危險的威脅小組之一,在全球範圍內高度活躍. 他們不斷使用脆弱性攻擊來訪問未解決的系統. 如果系統沒有安裝脆弱產品的最新版本,則必須立即應用最新更新.

Microsoft漏洞

在最新一輪更新中,微軟已經解決了兩個零日漏洞,即CVE-2023-36884和CVE-2023-38180. 這些漏洞已被威脅參與者積極利用,並促使Microsoft迅速採取了行動. 本月的更新還涵蓋了其他87個其他漏洞的修復程序,強調了對潛在的網絡威脅保持警惕的重要性.

CVE-2023-36884是遠程代碼執行漏洞,俄羅斯威脅演員Storm-0978/romcom使用. 這個缺陷使攻擊者能夠巧妙地操縱Microsoft Office文檔,以逃避諸如網絡標記(MOTW)之類的安全機制,從而使他們能夠遠程執行代碼. 微軟已通過深入更新的辦公辯護做出了回應,以減輕這種風險. Storm-0978/Romcom以前參與部署工業間諜勒索軟件,最近已將其重新命名為“地下”,並擴大了其活動,包括勒索勒索.

另一個令人擔憂的漏洞CVE-2023-38180在此更新中也受到了關注. 儘管微軟尚未透露有關其剝削或發現者身份的具體細節,但此漏洞已被積極濫用,並有可能導致對服務的分配拒絕(DDOS)攻擊 .淨應用程序和視覺工作室. 值得注意的是,這個缺陷不需要攻擊者在目標系統上擁有用戶特權,這使其更加嚴重.

安全專家建議組織通過實施推薦的安全措施並應用提供的補丁來迅速採取行動. 這些更新可以提醒您永遠存在的網絡威脅,這些威脅需要一致的努力來保護系統和數據免受潛在的違規行為.

如果您面臨與網絡安全威脅,違規和不良演員有關的挑戰,或者有興趣了解有關確定對組織的潛在威脅的更多信息,請立即聯繫Marcum Technology.

| | 0 Comments