设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20220507)
返回列表 发新帖

每日安全简讯(20220507)

[复制链接]
发表于 2022-5-6 18:40 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 NetDooka框架通过PrivateLoader恶意软件分发

趋势科技的研究人员发现一种名为NetDooka的新恶意软件框架,该框架通过按安装付费(PPI)服务分发,包含多个部分,包括加载程序、释放程序、保护驱动程序和实现其网络通信协议的全功能远程访问木马(RAT)。感染始于用户无意中下载PrivateLoader,然后安装第一个NetDooka恶意软件,这是一个负责解密和执行加载程序组件的dropper组件。接着加载程序执行检查以确保它没有在虚拟环境中运行,之后从远程服务器下载另一个恶意软件。这个恶意软件是加载程序执行的另一个dropper组件,它负责解密和执行最终的有效载荷。它还可能启动已安装的内核驱动程序组件以保护安装的有效载荷。最终的有效载荷是一个RAT,它接受来自远程服务器的命令以执行各种功能。

netdooka-1-1.jpg
https://www.trendmicro.com/en_us ... vateloader-ppi.html

2 研究人员发现新型Windows恶意软件Raspberry Robin

Red Canary情报分析师发现了一种具有蠕虫功能的新型Windows恶意软件,该恶意软件使用外部USB驱动器进行传播。这个恶意软件与一组名为Raspberry Robin的恶意活动有关,于2021年首次被发现。当连接包含恶意.LNK文件的受感染USB驱动器时,Raspberry Robin会传播到新的Windows系统。然后蠕虫会使用cmd.exe生成一个新进程,以启动存储在受感染驱动器上的恶意文件。它使用微软标准安装程序(msiexec.exe)连接其命令和控制 (C2) 服务器,研究人员说:“虽然msiexec.exe下载并执行合法的安装程序包,但攻击者也利用它来传播恶意软件。”

Raspberry Robin.jpg
https://www.bleepingcomputer.com ... er-to-drop-malware/
New Raspberry Robin worm uses Windows Installer to drop malware.pdf (3.12 MB, 下载次数: 37)

3 俄罗斯的酒类分销网站疑似遭到乌克兰IT Army攻击

据多家俄罗斯媒体报道,一些伏特加酒生产商和经销商声称无法按照政府规定访问EGAIS(ЕГАИС)门户。因此,在过去几天里,酒精饮料的运输和分销到零售点的工作受到了严重影响,增加了货架上实际短缺的风险。5月4日,许多工厂决定完全停止向仓库发货,并随后降低了生产速度。Bleeping Computer发现相关网站被列为乌克兰IT Army Telegram频道的目标,因此它们很有可能是这些攻击的幕后黑手。

IT Army Telegram.jpg
https://www.bleepingcomputer.com ... cohol-distribution/
Ukraine’s IT Army is disrupting Russia's alcohol distribution.pdf (968.65 KB, 下载次数: 30)

4 两个高严重性漏洞影响Avast和AVG防病毒解决方案

SentinelOne研究员Kasif Dekel发现了两个高严重性安全漏洞,被跟踪为CVE-2022-26522和CVE-2022-26523,它们会影响Avast和AVG防病毒解决方案使用的驱动程序。漏洞存在于名为aswArPot.sys的anti-rootkit内核驱动程序中,它是由AVAST Software进行数字签名的“Avast anti-rootkit”。攻击者可以利用这些漏洞来提升权限并可能禁用防病毒解决方案。SentinelOne于2021年12月20日报告了这些漏洞,Avast在2022年2月8日发布的防病毒版本22.1中修复了这些问题。

avast.jpg
https://securityaffairs.co/wordp ... ntivirus-flaws.html

5 攻击者可以利用Snipe IT漏洞发送密码重置电子邮件

Grokability的Snipe IT是一个基于云的开源项目,用于用户资产管理。5月2日,该项目披露了一个严重漏洞CVE-2022-23064,CVSS严重性得分为8.8。该漏洞被描述为主机头注入漏洞。当以不安全的方式处理服务器通信时会出现主机头问题,并可能导致各种问题,包括web缓存中毒、服务器端请求伪造(SSRF)或SQL注入攻击。CVE-2022-23064允许攻击者向系统的重置密码请求功能发送特制的主机头。Snipe-IT版本3.0-alpha到v5.3.7易受攻击。用户至少需要升级到v5.3.8版本。

9a19-article-220505-snipe-it-body-text.jpg
https://portswigger.net/daily-sw ... d-reset-email-traps

6 谷歌发布更新修复内核中被积极利用的Android漏洞

谷歌发布了Android 5月安全公告的第二部分,其中包括对一个被积极利用的Linux内核漏洞的修复,该漏洞被跟踪为CVE-2021-22600。CVE-2021-22600是一个权限提升漏洞,攻击者可以通过本地访问触发它。谷歌在1月份披露了该漏洞,但仅在本月才针对Android OS解决了这个问题。该公告还解决了框架中的5个漏洞,系统中的8个漏洞,内核组件中的4个漏洞,联发科组件中的3个漏洞,高通组件中的5个漏洞,高通闭源组件中的11个漏洞。

android.jpg
https://securityaffairs.co/wordp ... exploited-flaw.html
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 22:32

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表