免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 海莲花黑客组织利用恶意Web存档文件部署后门
Netskope威胁实验室目前正在跟踪海莲花(OceanLotus,又名APT32和Cobalt Kitty)黑客组织的恶意活动,该活动使用网页存档文件(“.mht”或“.mhtml”)来传递受感染的文档,最终部署了一个使用Glitch进行C2通信的后门。攻击链从一个RAR文件开始,该文件包含受感染的Web存档,可能通过网络钓鱼活动传递。一旦受害者打开文件,就会打开Web存档中的受感染文档,诱使用户点击“启用内容”按钮来执行恶意代码。有效载荷是一个名为“background.dll”的64位DLL,通过名为“Winrar Update”的计划任务每10分钟执行一次。后门收集有关目录、文件和进程的信息。一旦收集到数据,恶意软件将在单个位置编译所有内容,并在将其发送到C2服务器之前对内容进行加密。
https://www.netskope.com/blog/ab ... s-web-archive-files
2 APT35利用Log4j漏洞分发新的PowerShell工具包
研究人员发现黑客组织APT35(又名Charming Kitten、TA453或Phosphorus)在Log4j漏洞(CVE-2021-44228)被披露后仅四天就开始广泛扫描并试图利用公开系统中的漏洞,并利用该漏洞部署新的基于PowerShell的模块化框架CharmPower,用于建立持久性、收集信息和执行命令。攻击者使用了一种公开可用的开源JNDI漏洞利用工具包来利用Log4j漏洞,该工具包现已从GitHub中移除。为了利用该漏洞,攻击者向目标的公开资源发送一个特制的请求,然后从攻击者的服务器检索恶意Java类,并在易受攻击的机器上执行。这个类运行带有base64编码有效载荷的PowerShell命令,该有效载荷处理与C2的通信,并最终接收和执行其他的有效载荷。
https://research.checkpoint.com/ ... powershell-toolkit/
3 美国称MuddyWater黑客组织与伊朗情报机构有关
美国网络司令部(USCYBERCOM)正式将伊朗支持的MuddyWatter黑客组织与伊朗情报与安全部(MOIS)联系起来。美国网络司令部表示:“这些威胁行为者被称为MuddyWater,是伊朗情报活动组织的一部分,并且已经发现他们使用各种技术来维持对受害者网络的访问。”美国网络司令部的网络国家任务部队(CNMF)在与FBI的合作下,还分享了伊朗黑客组织在间谍和恶意活动中使用的多个恶意软件样本。样本包括多个PowGoop的变种,PowGoop是一个DLL加载程序,用于解密和运行基于PowerShell的恶意软件下载程序。
https://www.cybercom.mil/Media/N ... -open-source-tools/
Print.pdf
(76.27 KB, 下载次数: 19)
4 Magniber勒索软件使用签名的APPX文件感染系统
研究人员发现Magniber勒索软件使用带有有效证书的Windows应用程序包文件(. appx),旨在传播伪装成Chrome和Edge网络浏览器更新的恶意软件。韩国网络安全公司AhnLab的研究人员表示,感染始于访问一个有效载荷下载网站。目前还不清楚受害者是如何进入该网站的。分发有效载荷的两个URL是“hxxp://b5305c364336bqd.bytesoh.cam”和“hxxp://hadhill.quest/376s53290a9n2j”,但这些可能不是唯一的。加密系统上的数据后,会创建以一个勒索信。尽管该勒索信是英文的,但Magniber勒索软件目前只针对亚洲用户。目前无法免费解密被此恶意软件锁定的文件。
https://www.bleepingcomputer.com ... -to-infect-systems/
Magniber ransomware using signed APPX files to infect systems.pdf
(2.62 MB, 下载次数: 15)
5 黑客利用云服务分发Nanocore、Netwire和AsyncRAT
思科Talos在2021年10月发现了一个恶意活动,威胁行为者滥用Microsoft Azure和Amazon Web Services等云服务,并积极滥用这些服务以分发针对用户信息的Nanocore、Netwire和AsyncRAT的变种。攻击者在下载器脚本中使用了复杂的混淆技术。攻击者正在使用DuckDNS动态DNS服务来更改 C2主机的域名。根据思科安全产品遥测,此次活动的受害者主要分布在美国、意大利和新加坡。
https://blog.talosintelligence.c ... crat-spreading.html
6 苹果发布iOS和iPadOS软件更新修复HomeKit漏洞
苹果周三发布了适用于iOS和iPadOS的软件更新,以解决影响HomeKit智能家居框架的持续拒绝服务(DoS)问题,该问题可能被利用以发起针对设备的勒索软件攻击。苹果在iOS和iPadOS 15.2.1的发行说明中将其称为“资源耗尽问题”,在处理恶意制作的HomeKit配件名称时可能会触发该问题,并补充说它通过改进验证解决了该错误。
https://thehackernews.com/2022/0 ... d-ipad-updates.html
|