找回密码
 注册创意安天

每日安全简讯(20220129)

[复制链接]
发表于 2022-1-28 19:46 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 安天发布关于Dridex银行木马的钓鱼活动的分析

2021年11月初,哈工大安天联合CERT实验室在网络安全监测中发现多起针对我国某机构的钓鱼邮件投递活动,经关联分析,确认此次攻击活动目的是投递Dridex银行木马。通过对活动过程的相关TTP关联和溯源,最终判定此次攻击活动来自于TA575组织。此次钓鱼活动,TA575组织使用具有Excel 4.0宏的文档作为附件,释放并运行HTA文件,对其存放于Discord、Dropbox和OneDrive等社交和文件云存储平台中的恶意样本实现下载。此外,由于HTA文件代码中存在一个域控环境的判断,因此本次钓鱼活动只针对处于域控环境下的终端系统。在整个攻击过程中,攻击者使用了混淆、宏代码隐藏、加密和异常处理等形式来对抗分析和检测。

微信图片_20220128194547.png
https://mp.weixin.qq.com/s/fXggBsgYzWJVXV_2eSr_tg


2 Lockbit勒索软件团伙声称入侵了法国司法部

1月27日,Lockbit勒索软件团伙宣布,他们窃取了法国司法部的数据,并威胁要将其泄露。该团伙在Tor泄露网站的倒计时显示,他们给法国政府14天的时间来支付赎金。付款截止日期为2022年2月10日11:20:00。目前,勒索软件团伙尚未报告从法国司法部窃取的大量数据,也未发布任何被盗文件样本。法国政府尚未就所谓的攻击发表任何官方评论。

Ministry-of-Justice-of-France.png
https://securityaffairs.co/wordp ... france-lockbit.html


3 Chaes银行木马通过恶意扩展劫持Chrome浏览器

一场出于经济动机的恶意软件活动已经入侵了800多个WordPress网站,以传播一个名为Chaes的银行木马,针对Banco do Brasil、Loja Integrada、Mercado Bitcoin、Mercado Livre和Mercado Pago的巴西客户。当用户访问其中一个受感染的网站时会触发攻击序列,然后会显示一个弹出窗口,敦促他们安装虚假的Java Runtime应用程序。如果用户按照说明进行操作,恶意安装程序将启动复杂的恶意软件交付例程,最终部署多个模块。一些中间负载不仅被加密,而且作为注释代码隐藏在Blogger blogspot域(“awsvirtual[.]blogspot.com”)的HTML页面中。在最后阶段,JavaScript dropper下载并安装多达五个Chrome扩展程序。

avast.jpg
https://thehackernews.com/2022/0 ... hijacks-chrome.html


4 美国波多黎各参议院遭到网络攻击导致官网瘫痪

美国波多黎各参议院本周宣布,它遭受了一次重大网络攻击,导致其互联网提供商、电话系统和官方在线页面瘫痪。地方和联邦当局正在调查这起攻击事件。根据参议院议长的说法,没有证据表明威胁行为者能够访问属于员工、承包商或顾问的敏感信息。

hackers-hacking.jpg
https://securityaffairs.co/wordp ... ed-cyberattack.html


5 BotenaGo僵尸网络的源代码被上传到GitHub

研究人员表示,BotenaGo僵尸网络源代码已泄露到GitHub,使数百万路由器和物联网(IoT)设备面临风险。该恶意软件轻巧,易于使用且功能强大。BotenaGo的2891行代码是恶意软件攻击所需的全部,包括但不限于安装一个反向shell和一个telnet加载程序,用于创建后门以接收来自其命令和控制(C2)操作员的命令。研究人员解释说,BotenaGo自动设置了33个漏洞,为攻击者提供了一个“就绪状态”来攻击脆弱的目标,并根据目标类型或操作系统使用适当的有效载荷感染它。

botenago_initialization.jpg
https://cybersecurity.att.com/bl ... -uploaded-to-github


6 Solarwinds修复Web Help Desk软件中的漏洞

企业软件公司Solarwinds修复了其Web Help Desk软件中的一个严重漏洞,该漏洞允许攻击者执行任意Hibernate查询语言(HQL)代码。攻击者可以对源代码中定义的数据库模型执行HQL查询,并读取注册用户的密码哈希,包括管理员密码哈希。除了从数据库中读取敏感信息,攻击者还可以执行其他SQL操作,只要在代码库中存在用于数据库表的Hibernate模型。Assetnote于去年10月31日向Solarwinds报告了该问题,12 月23日发布了Web Help Desk 12.7.7 Hotfix 1。

3747-article-220127-solarwinds-helpdesk-body-text.png
https://portswigger.net/daily-sw ... e-helpdesk-software

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 03:03

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表