Symantec发现Slug团伙使用新后门Daxin的攻击活动
发布时间 2022-03-03Symantec发现Slug团伙使用新后门Daxin的攻击活动
2月28日,Symantec发布一份报告详述了Slug团伙利用新后门Daxin的攻击活动。Daxin是一个Windows内核驱动程序,自2019年11月开始被用于攻击活动,研究人员在2021年11月观察到其最近一次攻击活动,针对电信、交通和制造行业。该后门具有窃取数据、执行命令或下载和安装其它恶意软件的功能;可以劫持合法的TCP/IP连接进行通信,以绕过检测;还能在目标中安装其它组件来增强内置功能,并使用名为\\.\Tcp4的设备为此类组件提供专用通信机制。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage
佳能的子公司Axis遭到攻击导致部分系统暂时中断
据媒体2月28日报道,瑞典公司Axis Communications遭到网络攻击导致部分系统中断。Axis是佳能的子公司,2019年营业收入超过12.35亿美元。攻击发生于2021年2月20日,该公司立即对此事展开调查。调查于2月27日完成,结果显示没有服务器被加密,也没有客户信息受到影响,攻击者通过社工攻击控制了一名员工的账户,并在没有触发任何警报的情况下入侵了系统。目前,该公司的操作系统和应用程序仍处于离线状态,Camera Station许可系统也无法使用。
https://www.bleepingcomputer.com/news/security/axis-communications-shares-details-on-disruptive-cyberattack/
CISA发布涉及施耐德电气中多个漏洞的ICS安全通告
CISA于2月24日发布了一则ICS安全通告,涉及施耐德电气Easergy中的多个漏洞。这些漏洞包括硬编码凭证使用漏洞(CVE-2022-22722)和缓冲区溢出漏洞(CVE-2022-22723和CVE-2022-22725)。通告称,成功利用这些漏洞可能会泄露设备凭据、导致DoS状态、设备重启或允许攻击者完全控制中继。施耐德电气在2022年1月11日推出的更新中修复了这些漏洞。
https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-03
伊朗UNC3313利用2个新后门攻击中东的某政府机构
Mandiant在2月24日发布的报告披露了伊朗UNC3313使用的2个新后门的细节。研究人员在2021年11月检测到UNC3313针对中东某政府机构的攻击,并在调查过程中发现了新的恶意软件GRAMDOOR和STARWHALE。其中,STARWHALE是一个Windows脚本文件(.WSF),执行从硬编码C2服务器接收到的命令;GRAMDOOR被部署为NSIS安装程序,并通过设置Windows Run注册表项实现持久性。
https://www.mandiant.com/resources/telegram-malware-iranian-espionage
加州律师协会State Bar的26万起案件记录泄露
媒体2月28日报道称,加利福尼亚州律师协会State Bar约26万份非公开的案件记录被发布在Judyrecords.com。该聚合网站从多个法律机构数据库收集公开的法庭记录,汇集了超过6.3亿份记录。据悉,此次泄露事件源于案件管理系统中存在一个安全漏洞,导致Judyrecords在访问公共记录时无意中抓取到了非公开记录。目前,这些文件已被从网站中删除。
https://www.theregister.com/2022/02/28/ca_legal_leak/
Akamai发现新DDoS攻击模式可放大65倍
3月1日,Akamai发布报告称检测到新DDoS攻击模式TCP Middlebox Reflection可放大65倍。此类攻击针对数据包检查和内容过滤设备,具有33字节payload的SYN数据包可触发2156字节的响应,放大了6533%。Akamai在针对银行、旅游、游戏、媒体和Web 托管服务提供商的活动中都检测到了此类攻击。研究人员认为,尽管目前此类攻击的规模尚小(峰值为11Gbps和1.5Mpps),但攻击者在进行微调后找到最佳反射模式只是时间问题。
https://www.akamai.com/blog/security/tcp-middlebox-reflection#.Yh41hIhUsH0.twitter
安全工具
Katoolin3
可以将 Kali Linux 中可用的所有程序带到 Debian 和 Ubuntu。
https://github.com/s-h-3-l-l/katoolin3
openSquat
是一种开源情报 (OSINT) 安全工具,用于识别对特定公司或域的抢注威胁。
https://github.com/atenreiro/opensquat
CloudGraph
是适用于 AWS、Azure、GCP 和 K8s 的免费开源通用 GraphQL API 和云安全状态管理 (CSPM) 工具。
https://github.com/cloudgraphdev/cli
Nimcrypt2
用 Nim 编写的 .NET、PE 和原始 Shellcode 打包程序/加载程序。
https://github.com/icyguider/Nimcrypt2
moonwalk
通过在系统日志和文件系统时间戳上清除痕迹,在 Linux 漏洞利用/渗透测试期间覆盖踪迹。
https://github.com/mufeedvh/moonwalk
安全分析
乌克兰研究人员泄露勒索软件 Conti 的源代码
https://www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/
勒索软件 BlackCat 分析报告
https://cybersecurity.att.com/blogs/labs-research/blackcat-ransomware
Namecheap 终止为俄罗斯组织提供服务,要求他们转移域名
https://www.bleepingcomputer.com/news/technology/namecheap-terminates-services-for-russians-asks-them-to-move-domains/
微软:乌克兰在入侵前数小时就遭受了新的 FoxBlade 恶意软件攻击
https://securityaffairs.co/wordpress/128538/cyber-warfare-2/foxblade-malware-used-hours-before-invasion.html
CISA和FB警告针对乌克兰的数据擦除攻击可能会蔓延到其它国家
https://www.bleepingcomputer.com/news/security/cisa-and-fbi-warn-of-potential-data-wiping-attacks-spillover/
Emotet 的重生:僵尸网络的新功能及其检测方法
https://thehackernews.com/2022/02/reborn-of-emotet-new-features-of-botnet.html
京公网安备11010802024551号