ESET发现Sandworm利用SwiftSlicer攻击乌克兰的活动

首页 > 宁静研究 > 宁静通报 > 宁静简讯

ESET发现Sandworm利用SwiftSlicer攻击乌克兰的活动

宣布时间 2023-01-31

1、ESET发现Sandworm利用SwiftSlicer攻击乌克兰的活动

ESET研究人员于1月27日称，在最近一次针对乌克兰组织的攻击活动中发现了一种新的数据擦除恶意软件SwiftSlicer，并将其归因于APT组织Sandworm。SwiftSlicer于1月25日在目标的网络上被发现，它通过组计谋部署，这表明攻击者已经控制了目标的Active Directory环境。该恶意软件是用Go开发的，一旦执行就会删除卷影副本并笼罩Windows系统目录中的要害文件，特别是驱动法式和Active Directory数据库。

https://www.welivesecurity.com/2023/01/27/swiftslicer-new-destructive-wiper-malware-ukraine/

2、QNAP宣布固件更新修复其NAS设备中的SQL注入漏洞

1月30日，QNAP宣布了QTS和QuTS的固件更新，以修复可在其NAS设备中注入恶意代码的漏洞。该漏洞追踪为CVE-2022-27596，CVSS评分为9.8，影响了QTS 5.0.1和QuTS hero h5.0.1版本。供应商没有透露有关该漏洞的更多细节，但NIST portal将其描述为SQL注入漏洞。此外，QNAP宣布了一个描述该漏洞严重性的JSON文件，表明该漏洞可被远程攻击者在低庞大水平的攻击中利用，而无需用户交互或目标设惫亓权限。

https://securityaffairs.com/141588/iot/qnap-addresses-critical-flaw.html

3、投资研究公司Zacks遭到攻击导致82万用户的信息泄露

据媒体1月25日报道，Zacks Investment Research公司的数据泄露事件影响了820000名客户。Zacks发现部门客户记录遭到了未经授权的访问，经内部视察确定攻击者在2021年11月至2022年8月之间的某个时间访问了该网络。泄露信息包罗姓名、地址、电话、邮件地址和Zacks.com网站的用户密码。该公司澄清说，此次事件仅影响在1999年11月至2005年2月加入的Zacks Elite的客户。目前，Zacks重置了受影响用户的密码，并实施了特别的宁静措施。

https://www.bleepingcomputer.com/news/security/zacks-investment-research-data-breach-affects-820-000-clients/

4、勒索软件Mimic利用搜索工具Everything查找要加密的文件

Trend Micro在1月26日透漏，新的勒索软件Mimic利用合法工具Everything的API来查找要加密的文件。Everything是Voidtools开发的Windows文件名搜索引擎，可资助Mimic找到可加密的文件，同时绕开那些加密后会导致系统无法启动的文件。该勒索软件于2022年6月首次在野外被发现，主要针对俄语和英语目标。其部门代码与勒索软件Conti有相似之处，还可以利用多个处置器线程来加速数据加密过程，具有现代勒索软件的常见功效。

https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html

5、研究人员在Black Basta攻击活动中发现PlugX新变体

据1月27日报道，研究人员在一次Black Basta的攻击活动中发现了恶意软件PlugX的新变体。该变体可以在USB设备上隐藏恶意文件，然后熏染它们连接的Windows主机。在此次活动中，攻击者使用32位版本的Windows调试工具x64dbg.exe和中毒版本的x32bridge.dll，来加载PlugX payload（x32bridge.dat）。目前，在Virus Total扫描平台上的61种产物中，仅有9种可以将其标志为恶意文件。

https://www.bleepingcomputer.com/news/security/plugx-malware-hides-on-usb-devices-to-infect-new-windows-hosts/

6、Mandiant宣布关于Gootkit攻击活动演变的分析陈诉

Mandiant在1月26日宣布了关于Gootkit攻击活动的分析陈诉。自2021年1月以来，Mandiant一直在跟踪UNC2565的Gootkit的活动。研究人员发现，从2022年开始UNC2565对其活动中使用的TTP进行更改，包罗使用FONELAUNCH launcher的多个变体、分发新的后续payload以及对Gootkit下载法式和熏染链的更改。此外，陈诉还介绍了恶意软件用来隐藏其代码的多种要领，并提供可以自动执行反混淆过程的脚本。

https://www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究