Unit 42披露针对美国国防承包商的后门SockDetour的细节
发布时间 2022-03-01Unit 42披露针对美国国防承包商的后门SockDetour的细节
2月24日,Unit 42研究人员发文称其在跟踪APT活动TiltedTemple时发现了新后门SockDetour。该后门至少自2019年7月就已经存在,主要被用作备份后门以防主后门被删。因其在目标Windows服务器上无文件且无套接字地运行,所以很难被检测到。据悉,此次活动主要瞄准美国的国防承包商,目前至少有4家此类公司遭到攻击。虽然尚未将后门SockDetour归因于任何黑客组织,但TiltedTemple活动与APT27有关。
https://unit42.paloaltonetworks.com/sockdetour/
英伟达称其正在调查导致部分系统中断2天的攻击事件
据媒体2月25日报道,GPU制造商英伟达(Nvidia)正在调查导致部分系统中断2天的攻击事件。此次攻击影响了公司的开发人员工具和电子邮件系统,但业务和商业活动并未受到影响。尚不清楚是否有业务或客户的信息被盗,该公司目前仍在评估事件的性质和范围。2月26日,Lapsus$团伙声称他们已入侵Nvidia的网络并窃取了1TB的数据,还公开了Nvidia所有员工的密码。
https://www.bleepingcomputer.com/news/security/gpu-giant-nvidia-is-investigating-a-potential-cyberattack/
NHS敦促用户修复Okta客户端中的RCE CVE-2022-24295
英国NHS数字机构在2月24日发布了通告,敦促用户尽快修复Okta Advanced Server Access 身份验证管理平台中的RCE漏洞。该漏洞追踪为CVE-2022-24295,可用来通过特制URL执行命令注入,成功利用可导致完全控制系统、执行静默的数据泄露、横向移动以及对公司网络的初始访问。NHS还提醒管理员,Okta的几个产品也受到Log4Shell漏洞的影响。
https://www.bleepingcomputer.com/news/security/nhs-urges-orgs-to-apply-security-update-for-okta-client-rce-bug/
CISA发布关于伊朗MuddyWater的间谍活动的通告
2月24日,CISA、FBI、CNMF、NCSC-UK和NSA发布了一份联合网络安全咨询。该咨询披露了伊朗APT组织MuddyWatter在针对全球关键基础设施的攻击中使用的新恶意软件的信息。该活动针对亚洲、非洲、欧洲和北美的电信、国防、石油、天然气行业和地方政府组织,使用了诸如PowGoop、Canopy/Starwhale、Mori、POWERSTATS等多种恶意软件。通告还重点介绍了Python后门Small Sieve和用于加密C2通信通道的一个PowerShell后门。
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/24/iranian-government-sponsored-muddywater-actors-conducting
Check Point发布新恶意软件Electron Bot的分析报告
2月24日,Check Point Research(CPR)披露了新恶意软件Electron Bot的技术细节。该活动活动始于2018年底,伪造成2Temple Run和Subway Surfer等热门游戏,通过Microsoft Store进行传播,现在已感染了瑞典、保加利亚、俄罗斯、百慕大和西班牙的5000多台计算机。Electron Bot是一种模块化的 SEO 中毒恶意软件,主要用于社交媒体推广和点击欺诈活动。
https://research.checkpoint.com/2022/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store/
Cisco发布安全更新,修复其多个产品中的漏洞
2月23日,Cisco发布安全更新,修复了多款产品中的漏洞。其中较为严重的是思科NX-OS软件NX-API命令注入漏洞(CVE-2022-20650),源于对用户提供的数据缺乏足够的输入验证;以及Cisco Fabric Services Over IP (CFSoIP)中的拒绝服务漏洞(CVE-2022-20624)和Nexus 9000系列交换机双向转发检测(BFD)流量功能中的拒绝服务漏洞(CVE-2022-20623)。
https://thehackernews.com/2022/02/new-flaws-discovered-in-ciscos-network.html
安全工具
Win Brute Logon
在没有任何权限的情况下破解任何 Microsoft Windows 用户密码(包括访客帐户)。
https://github.com/DarkCoderSc/win-brute-logon
PHP Malware Finder
尽其所能地检测模糊的代码,以及在恶意软件和webshell中经常使用的PHP函数文件。
https://github.com/jvoisin/php-malware-finder
LDAP Password Hunter
它包装了 getTGT.py (Impacket) 和 ldapsearch 的功能,以便查找存储在 LDAP 数据库中的密码。
https://github.com/oldboy21/LDAP-Password-Hunter
Collabfiltrator
是一种通过 Burp Collaborator 通过 DNS 窃取远程代码执行输出的工具
https://packetstormsecurity.com/files/166062/Collabfiltrator-2.1.zip
ostorlab
一个安全扫描平台,能够以简单、可扩展和分布式的方式运行涉及多个工具的复杂安全扫描任务。
https://docs.ostorlab.co/
安全分析
微软警告新的 Windows 11 重置错误
https://news.softpedia.com/news/microsoft-warns-of-new-windows-11-reset-bug-534943.shtml
免费的 Android 应用可让检测 Apple AirTag 跟踪
https://www.bleepingcomputer.com/news/security/free-android-app-lets-users-detect-apple-airtag-tracking/
Android 上的 Visual Voice Mail 可能容易被窃听
https://www.bleepingcomputer.com/news/security/visual-voice-mail-on-android-may-be-vulnerable-to-eavesdropping/
微软:1 月 Windows Server 更新导致 Netlogon 问题
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-windows-server-updates-cause-netlogon-issues/
网络黑客专注于在美国销售高价值目标
https://www.bleepingcomputer.com/news/security/network-hackers-focus-on-selling-high-value-targets-in-the-us/
京公网安备11010802024551号