CNN獲得的一份由都樂高級副總裁 Eanuel Lazopoulos在2 月 10日撰寫的備忘錄告訴零售商,都樂正處於網路攻擊之中,[我們]隨後關閉了我們在整個北美的系統(Dole Food Company is in the midst of a Cyber Attack and [we] have subsequently shut down our systems throughout North America.) 根據都樂的網站,這家製造商在全球擁有 250 多家工廠,它在美國擁有三個沙拉加工廠,CNN報導稱在,都樂的預切和混合沙拉包系列佔據超市足夠多的空間,以致於貨架上缺少沙拉包的情況很明顯,德州及新墨西哥州的某些超市自上週初以來,沙拉包一直短缺。
最嚴重被濫用的漏洞為CVE-2023-21823,這是一個 Windows 圖形組件遠端程式碼執行(RCE)漏洞,成功利用此漏洞的攻擊者可以獲得系統(SYSTEM)權限。微軟還呼籲特別注意CVE-2023-21715,這是 Microsoft Publisher 中的一個功能繞過漏洞;和CVE-2023-23376為Windows 通用日誌檔案系統驅動程式中的特權升級漏洞,該漏洞存在於 Windows 10 和 11 系統以及許多伺服器版本的 Windows 中。這三個零時差漏洞是微軟週二在其月度安全更新中披露一部分。另外該公司將其中 9個漏洞評估為重大嚴重程度,將 66 個漏洞評估為對組織構成重要(Important)威脅。微軟本月披露的近一半漏洞 (38個)是遠端程式碼執行 (RCE) 漏洞,再來是特權提升漏洞,其次是阻斷服務攻擊漏洞和欺騙漏洞。
另外,CVE-2023-21823 -圖形組件遠端程式碼執行(RCE)漏洞, 由資安公司 Mandiant 的 Dhanesh Kizhakkinan、Genwei Jiang 和 Dhanesh Kizhakkinan 發現。微軟表示,這個遠端程式碼執行漏洞允許攻擊者以 SYSTEM 權限執行命令。然而此安全更新將通過 Microsoft Store 而不是 Windows Update 推送給用戶。因此,對於那些關閉Microsoft Store 中自動更新的用戶,Microsoft 不會自動推送更新,用戶需手動安裝修補程式。
資安公司Automox 建議使用 Microsoft 365 Applications for Enterprise 的組織在 24 小時內修補 CVE-2023-2175,“這個漏洞是一個被積極利用的零時差漏洞,允許攻擊者製作一個檔案來繞過 Office 安全功能,”Automox 在一篇博客文章中說,它允許攻擊者“如果他們可以通過社交工程學脅迫用戶在易受攻擊的設備上下載和打開檔案,則他們有可能在最終用戶設備上執行惡意程式碼。”
新的 Exchange 伺服器威脅
Tenable 的高級研究工程師 Satnam Narang 強調了三個 Microsoft Exchange 伺服器漏洞(CVE-2023-21706、CVE-2023-21707、CVE-2023-21529)作為組織應該注意的問題,因為 Microsoft 已將它們識別為攻擊者可以攻擊的漏洞更有可能被利用。Narang 表示,在過去的幾年裡,世界各地的 Microsoft Exchange 伺服器都受到了多個漏洞的打擊,從 ProxyLogon 到 ProxyShell,再到最近的 ProxyNotShell、OWASSRF 和 TabeShell。近年來,Exchange 伺服器漏洞近年來已成為駭客的寶貴商品,強烈建議依賴Microsoft Exchange 伺服器的組織確保他們已應用Exchange 伺服器的最新更新。
根據BleepingComputer,被入侵的伺服器,ESXi登錄界面會被篡改,伺服器中的數據被加密,勒索軟體在受感染的ESXi伺服器上加密.vmxf、.vmx、.vmdk、.vmsd 和.nvram的檔案,為每個包含元數據(可能需要解密)的加密檔案建立一個.args檔案,並部署名為“ransom.html”和“How to Restore Your Files.html”的勒索信,每張勒索信都顯示不同的比特幣錢包地址,攻擊者要求受害者在被入侵後的三天內付大約 2 個比特幣金額(大約1百40萬台幣)。
根據資安公司PRODAFT分享了他們發現的四個 LockBit Green 樣本的 MD5 哈希值和包括可以檢測新變種的 Yara rules,發現LockBit Green使用與以前的 Conti 加密程式相同的命令行參數,並可以確認勒索信已修改為LockBit 3.0的樣式,而不是Conti 的格式。PRODAFT進一步指出,目前至少有5名受害者受到了LockBit Green變種的攻擊,當中包括英國軟體公司ION Trading UK,導致處理清算衍生品的伺服器癱瘓,2023 年 1 月 31 日,ION Trading UK在一份聲明中披露了這一事件,稱其影響了 ION Markets 的一個部門 ION Cleared Derivatives。這次攻擊迫使該公司的美國和歐洲的42 家大客戶轉向手動處理交易,造成嚴重延誤。
值得指出的是LockBit Green 變種使用隨機的副檔名,而不是標準的 .lockbit的副檔名。另外,PRODAFT觀察到Conti勒索軟體集團前會員特別在LockBit Green發布後,呈向使用此版本的LockBit勒索軟體,很有可能是LockBit是基於Conti的變種,使前成員們在使用更如魚得水。
有關LockBit Green的部分入侵指標(Indicator of compromise -IOCs):