找回密码
 注册创意安天

每日安全简讯(20220307)

[复制链接]
发表于 2022-3-6 18:54 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 SharkBot恶意软件通过谷歌Play商店传播

NCC Group的研究人员发现SharkBot银行恶意软件已渗透到Android官方应用程序库谷歌Play商店,伪装成具有系统清理功能的防病毒软件。该恶意软件于2021年10月由Cleafy首次发现,它最显著的特点是通过自动传输系统(ATS)转账。SharkBot和其他Android银行木马的一个显著区别是使用了相对较新的组件,利用了通知的“直接回复”功能。SharkBot现在可以拦截新的通知,并直接用来自C2的消息回复它们。通过“自动回复”功能,可以直接从C2获取具有ATS功能的完整版SharkBot,并自动安装在设备上。

antivirus.jpg
https://www.bleepingcomputer.com ... rus-in-google-play/
SharkBot malware hides as Android antivirus in Google Play.pdf (3.44 MB, 下载次数: 19)


2 俄罗斯监管机构屏蔽Facebook和Twitter

由于Facebook最近停用或限制了对传播俄罗斯宣传的媒体和新闻机构账户的访问,包括俄新社(RIA Novosti)、Sputnik和今日俄罗斯(Russia Today),俄罗斯国家通信监督机构Roskomnadzor下令屏蔽对Facebook的访问。周五,Roskomnadzor还下令封锁BBC、美国之音、自由欧洲电台/自由电台、德国之声和Meduza。Roskomnadzor最近还根据检察长办公室2月24日的命令屏蔽了对Twitter的访问。

Facebook-Cambridge-Analytica.jpg
https://securityaffairs.co/wordp ... acebook-russia.html


3 恶意软件使用被盗的英伟达代码签名证书

在Lapsus$泄露英伟达的代码签名证书后,安全研究人员很快发现这些证书被用于签名恶意软件和威胁参与者使用的其他工具。根据上传到VirusTotal恶意软件扫描服务的样本,被盗证书被用于签名各种恶意软件和黑客工具,例如Cobalt Strike信标、Mimikatz、后门和远程访问木马。为了防止在Windows中加载已知的易受攻击的驱动程序,微软企业和操作系统安全总监David Weston在推特上表示,管理员可以配置Windows Defender应用程序控制策略来控制可以加载哪些英伟达驱动程序。

signed-malware.jpg
https://www.bleepingcomputer.com ... gning-certificates/
Malware now using stolen NVIDIA code signing certificates.pdf (2.88 MB, 下载次数: 15)


4 攻击者冒充风险投资公司以传播恶意软件

2月底,BleepingComputer收到一封来自英国虚拟服务器公司IP地址的电子邮件,这封电子邮件伪装成一位对投资或购买BleepingComputer感兴趣的风险投资家,邮件中表示“请通过电话或Vuxner聊天室与我们联系。”在谷歌搜索并下载VuxnerChat.exe后,实际上安装了“Trillian”消息应用程序,之后又下载了更多的恶意软件。Cluster25研究人员表示,此感染链分为两个阶段,第一阶段诱饵URL下载并安装一个名为“Trillian”的软件,第二阶段是安装程序下载一个被称为RuRAT的合法远程桌面软件,用于恶意目的。

vuxner-com.jpg
https://www.bleepingcomputer.com ... oking-to-buy-sites/
Malware campaign impersonates VC firm looking to buy sites.pdf (3.58 MB, 下载次数: 14)


5 新的Linux内核漏洞可能会导致容器逃逸

2月4日,Linux发布了一个新的内核特权提升漏洞CVE-2022-0492。CVE-2022-0492标记了控制组(cgroups)中的一个逻辑错误。该问题是最近发现的最简单的Linux特权提升问题之一:Linux内核错误地将特权操作暴露给非特权用户。幸运的是,大多数容器环境中的默认安全加固足以防止容器逃逸。使用AppArmor或SELinux运行的容器受到保护。除了容器之外,该漏洞还允许不具备任何功能的根主机进程或具有CAP_DAC_OVERRIDE功能的非根主机进程提升权限并获得所有功能。这可能会让攻击者绕过某些服务使用的强化措施。

linux.PNG
https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/


6 CISA在已知被利用漏洞目录中增加95个漏洞

美国网络安全和基础设施安全局(CISA)在其已知被利用漏洞目录中增加了95个安全漏洞,使被积极利用的漏洞总数达到478个。新增的95个漏洞中,38个与思科漏洞有关,27个与微软漏洞有关,16个与Adobe漏洞有关,7个与Oracle漏洞有关,其余是关于Apache Tomcat、ChakraCore、Exim、Mozilla Firefox、Linux内核、Siemens SIMATIC CP和Treck TCP/IP堆栈的漏洞各一个。列表中包括在Cisco RV路由器中发现的五个问题,CISA指出这些问题正被用于实际攻击。

CISA.PNG
https://thehackernews.com/2022/0 ... 5-flaws-to-its.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 00:12

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表