黑客利用VMware漏洞CVE-2022-22954安装CoreImpact

首页 > 宁静研究 > 宁静通报 > 宁静简讯

黑客利用VMware漏洞CVE-2022-22954安装CoreImpact

宣布时间 2022-04-27

1、黑客利用VMware漏洞CVE-2022-22954安装Core Impact

Morphisec研究人员在4月25日披露了利用VMware Workspace ONE Access中的RCE漏洞（CVE-2022-22954）的细节信息。攻击者首先在目标中执行PowerShell命令，该命令会启动一个 stager。然后，stager以高度混淆的形式从C2服务器获取PowerTrash加载法式，最终将Core Impact注入内存以进行后续活动。据悉，此次攻击活动可能与伊朗的APT组织Rocket Kitten有关。

https://blog.morphisec.com/vmware-identity-manager-attack-backdoor

2、APT37的新一轮钓鱼活动分发恶意软件Goldbackdoor

据媒体4月25日报道，朝鲜黑客组织APT37（又称Ricochet Chollima）通过钓鱼活动分发Goldbackdoor。据悉，此次活动主要针对新闻从业者，最终会安装新恶意软件Goldbackdoor。该恶意软件它被评估为“Bluelight”的继任者，可以远程接受命令并窃取数据。此外，钓鱼邮件来自韩国国家情报局NIS前局长的账户（该账户曾被APT37入侵），其中附加了名为“Kang Min-chol edits”的ZIP文件，Kang Min-chol是朝鲜矿业部长。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/

3、伊朗称已挫败针对其公共基础设施的大规模网络攻击

媒体4月25日报道，据伊朗国家电视台宣布已挫败针对其公共基础设施的大规模网络攻击。据悉，此次攻击来自荷兰、英国和美国的系统，目标是伊朗的100多个公共服务组织的基础设施。伊朗政府没有详细说明机构、组织或服务的名称，但体现这些事件发生在最近几天。目前尚不确定攻击者的身份，伊朗将此事件归因于外国黑客。去年10月，伊朗NIOPDC的加油站曾遭到攻击，7月份伊朗铁路系统也遭到了攻击。

https://securityaffairs.co/wordpress/130592/hacking/iran-foiled-cyberattacks-public-services.html

4、美国牙科协会ADA遭到新勒索团伙Black Basta的攻击

据4月26日报道，美国牙科协会(ADA)遭到来自Black Basta的勒索攻击。攻击发生在上周五，ADA遭到攻击后关闭了受影响的系统，从而导致种种在线服务、电话、电子邮件和网络聊天中断。ADA的网站显示，他们遇到了技术问题，正在努力让系统重新运行。Black Basta团伙声称对此事卖力，在其数据泄露网站已果然约2.8GB的数据，并体现这些数据仅占被盗数据的30%，其中包罗W2表格、保密协议、会计电子表格以及ADA成员信息等。

https://www.bleepingcomputer.com/news/security/american-dental-association-hit-by-new-black-basta-ransomware/

5、Cyble宣布新恶意软件Prynt Stealer的技术分析陈诉

4月21日，Cyble宣布了关于新信息窃取法式Prynt Stealer的技术分析陈诉。该工具的开发者优先考虑了隐蔽性，使用了二进制混淆和Rijndael加密字符串，他声称该恶意软件的最新版本是FUD（完全不行检测）。Prynt首先会扫描并窃取主机中的小于5120字节(5 KB)的文档、数据库文件、源代码文件和图像文件。此外，它还针对大量网络浏览器、消息通报应用法式和游戏等应用法式，并可以窃取剪贴板和键盘记录，以进行直接的财政偷窃。

https://blog.cyble.com/2022/04/21/prynt-stealer-a-new-info-stealer-performing-clipper-and-keylogger-activities/

6、The DFIR Report宣布勒索软件Quantum的分析陈诉

The DFIR Report在4月25日宣布了关于勒索软件Quantum近期活动的分析陈诉。Quantum于2021年8月首次被发现，是MountLocker的更名，其赎金因目标而异，从十几万美元到数百万美元不等。此次活动活动从最初熏染到完成加密设备仅使用了3小时44分钟。攻击者使用IcedID作为其初始访问媒介之一，该恶意软件部署Cobalt Strike进行远程访问，并最终安装Quantum Locker进行数据窃取和加密。

https://thedfirreport.com/2022/04/25/quantum-ransomware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究