找回密码
 注册创意安天

每日安全简讯(20220225)

[复制链接]
发表于 2022-2-25 01:37 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 乌克兰有数百台计算机感染了Windows数据擦除软件

信息安全公司ESET的研究人员称,乌克兰已有数百台电脑被Windows恶意软件感染。ESET称,数据擦除器是用合法且可能是被盗的开发人员证书加密签名的,以至于反病毒工具和用户信任它,该恶意软件利用来自分区程序的驱动程序破坏存储设备,并破坏受感染系统上的文件。目前还不完全清楚恶意软件是如何落在受害者的机器上并运行的,一个案例中,一个组织的Active Directory服务器可能通过一个组策略对象在网络中分发数据擦除器。ESET将其命名为讨厌的Win32/KillDisk.NCV,数据擦除器不仅从驱动器上删除文件,还会破坏主引导记录。
Windows数据擦除软件.png

https://www.theregister.com/2022/02/23/ukraine_wiper_malware/


2 Sandworm黑客组织利用Cyclops Blink恶意软件攻击防火墙设备

与俄罗斯军方有关的Sandworm黑客组织正在利用防火墙的安全漏洞入侵网络,用恶意软件感染网络,从而获得远程访问权限。警报由NCSC、CISA、NSA和FBI发布的警报详细介绍了新的恶意软件Cyclops Blink。Cyclops Blink似乎是VPNFilter的替代品,VPNFilter是俄罗斯黑客组织在攻击中常使用的恶意软件。Cyclops Blink至少自2019年6月以来一直处于活跃状态,能够获得对网络的持续远程访问,它还可以从受感染的机器上传和下载文件,并且它是模块化的,允许将新功能添加到已经运行的恶意软件中。网络攻击主要集中在WatchGuard防火墙设备上,Sandworm组织能够重新利用恶意软件通过其他架构和固件进行传播。
Sandworm黑客组织.png

https://www.zdnet.com/article/se ... irewall-appliances/


3 Dridex恶意软件在被黑电脑上部署Entropy勒索软件

人们发现了Dridex通用恶意软件和一种鲜为人知的勒索软件“Entropy”之间的相似之处,这表明操纵者正在继续用另一个名字来重新命名他们的勒索行为。网络安全公司Sophos说:“这些相似之处存在于用于隐藏勒索软件代码的软件打包程序、用于查找和混淆命令(API调用)的恶意软件子程序,以及用于解密加密文本的子例程。”这些共同点是在两起不相关的事件后发现的,这两起事件的目标分别是一家未具名的媒体公司和一家地方政府机构。在这两种情况下,Entropy的部署都是通过使用Cobalt Strike Beacons和Dridex感染目标网络,授予攻击者远程访问权限。
Entropy勒索软件.png

https://thehackernews.com/2022/0 ... loying-entropy.html


4 尼日利亚黑客侵入一家薪资公司的用户账户并窃取工资存款

尼日利亚公民Onus在纽约南区地方法院认罪,他曾侵入一家人力资源和薪资公司的用户账户,窃取工资存款。根据起诉书和法庭上的陈述,Onus接管了美国各地的公司员工的用户账户,并通过将工资转移到他控制的借记卡中,窃取工资存款。该恶意活动始于2017年7月,直到他被捕时,Onus已经侵入了5500个用户账户,转移了总计80万美元的工资资金。Onus使用撞库攻击来访问一家人力资源和薪资公司的账户,该公司负责为其他公司的员工支付工资。
尼日利亚.png

https://www.bleepingcomputer.com ... g-payroll-deposits/
Nigerian hacker pleads.pdf (2.02 MB, 下载次数: 12)


5 思科修复了其FXOS和NX-OS网络操作系统中的4个漏洞

思科本周宣布为其FXOS和NX-OS网络操作系统中的4个漏洞提供补丁,其中包括NSA报告的一个拒绝服务漏洞。最严重的漏洞是CVE-2022-20650,这是一个可以远程利用的命令注入漏洞。该漏洞的存在是因为用户提供的数据没有得到充分验证,因此允许攻击者向受影响设备上的NX-API功能发送精心制作的HTTP POST请求,以在操作系统上执行命令。剩余的3个漏洞都可以被利用来导致拒绝服务。
思科.jpg

https://www.securityweek.com/nsa ... witches-dos-attacks
NSA Informs Cisco of Vulnerability.pdf (166.31 KB, 下载次数: 16)


6 Horde网络邮件客户端的XSS漏洞可通过文件预览功能触发

Horde网络邮件客户端是一个开源的电子邮件服务,来自Horde项目。研究人员警告称,Horde网络邮件客户端的一个0day跨站脚本(XSS)漏洞可能会让攻击者窃取受害者的电子邮件,并渗透他们的网络。研究人员透露,该客户端很容易受到一个存储型XSS漏洞的影响,这个漏洞还有待修补,存储型XSS是由将OpenOffice文件呈现为可视格式的过程触发的,OpenOffice文档是包含XML文档和其他文件的ZIP文件,当Horde被要求将OpenOffice文档转换为HTML以进行预览时,它使用可扩展样式表语言转换。研究人员注意到,转换后的文件在没有进行任何清理的情况下就被返回给用户。
Horde.png

https://portswigger.net/daily-sw ... le-preview-function

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 00:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表