设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20220312)
返回列表 发新帖

每日安全简讯(20220312)

[复制链接]
发表于 2022-3-11 19:17 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 钓鱼邮件针对乌克兰政府机构分发MicroBackdoor

乌克兰计算机应急响应小组(CERT-UA)证实,一场针对乌克兰政府机构的网络攻击活动使用了MicroBackdoor恶意软件。根据该机构收集的情报,网络钓鱼电子邮件包含一个名为“dovidka.zip”的文件,其中包含一个上下文帮助文件(Microsoft Compiled HTML Help)“dovidka.chm”。 该文件包含诱饵图像“image.jpg”以及HTA文件“file.htm”,其中包含VBScript恶意代码。恶意代码的执行将导致dropper“ignit.vbs”的运行,它将解码.NET加载程序“core.dll”,然后执行MicroBackdoor恶意软件。

cad5-article-220309-ukraine-malware-main.jpg
https://portswigger.net/daily-sw ... crobackdoor-malware

2 研究人员发现恶意Excel加载项传播JSSLoader

Secureworks Counter Threat Unit(CTU)研究人员观察到多个恶意Microsoft Excel加载项传播JSSLoader恶意软件。JSSLoader是一种远程访问木马(RAT),于2019年首次发现,并被GOLD NIAGARA网络犯罪组织使用。最初的交付机制无法进行分析,但据报道加载项是通过发票主题的电子邮件传递的。这种方法与之前的GOLD NIAGARA活动一致。研究人员分析的XLL文件使用ExcelDna.xll文件名,执行XLL文件会启动Excel并显示安全警告。如果用户启用加载项,其代码将在Excel进程的上下文中执行,尝试将JSSLoader二进制文件下载到%TEMP%目录,然后执行该二进制文件。

figure-1.png
https://www.secureworks.com/blog ... r-jssloader-malware

3 研究人员推测新的Nokoyawa勒索软件与Hive有关

研究人员发现Nokoyawa勒索软件可能与Hive有关,因为这两个家族在攻击链上有一些相似之处。据观察,Nokoyawa和Hive使用Cobalt Strike作为攻击到达阶段的一部分,以及使用合法但经常被滥用的工具,例如anti-rootkit扫描仪GMER和PC Hunter。其他步骤例如信息收集和横向部署也是类似的。目前,Nokoyawa的大部分目标位于南美,主要是阿根廷。研究人员还根据Nokoyawa使用的一个IP地址找到了两个勒索软件家族共享相同基础设施的证据。

ra.jpg
https://www.trendmicro.com/en_us ... lated-to-hive-.html

4 俄罗斯创建了新的TLS证书颁发机构以绕过制裁

俄罗斯创建了自己的可信TLS证书颁发机构(CA),以解决因制裁阻止证书续签而堆积如山的网站访问问题。但是,新的证书颁发机构(CA)要想被web浏览器信任,首先需要经过各个公司的审查,这可能需要很长时间。目前,认为俄罗斯新CA值得信赖的浏览器只有俄罗斯的Yandex浏览器和Atom产品。已经收到并正在使用这些俄罗斯国家提供的证书的网站包括Sberbank、VTB和俄罗斯中央银行。Chrome或Firefox等其他浏览器的用户可以手动添加新的俄罗斯根证书,以继续使用具有俄罗斯国家颁发证书的俄罗斯网站。

TLS.JPG
https://www.bleepingcomputer.com ... o-bypass-sanctions/
Russia creates its own TLS certificate authority to bypass sanctions.pdf (1.43 MB, 下载次数: 29)

5 新漏洞可以绕过英特尔和Arm CPU中的缓解措施

研究人员披露了一种新技术,可用于规避来自英特尔、AMD和Arm的现代处理器中现有的硬件缓解措施,并实施Spectre等推测性执行攻击,以从主机内存中泄露敏感信息。新技术被称为Branch History Injection(BHI或Spectre-BHB),是Spectre-V2攻击的一种新变体(跟踪为CVE-2017-5715),它绕过了eIBRS和CSV2,研究人员将其描述为在现代英特尔CPU上泄露任意内核内存的“有序的端到端攻击”。

BHI.JPG
https://thehackernews.com/2022/0 ... isting-spectre.html

6 Pascom电话系统漏洞可导致预认证远程代码执行

埃塞俄比亚信息安全公司Kerbit的Daniel Eshetu通过结合三个不太严重的安全漏洞,在Pascom的云电话系统上实现了完整的预认证远程代码执行(RCE)。第一个缺陷涉及Nginx到Tomcat反向代理请求(CVE-2021-45968)中的路径遍历。第二个SSRF问题源于一个过时的Openfire(XMPP服务器)jar,该jar易受跟踪为CVE-2021-45967的缺陷的影响。最后一个漏洞涉及计划任务中的命令注入 (CVE-2021-45966)。所有三个漏洞都已在1月份发布的Passcom 云电话系统7.20.x版本中得到修补。

6917-article-220309-pascom-main.jpg
https://portswigger.net/daily-sw ... ascom-phone-systems
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 23:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表