研究人员演示绕过CPU中漏洞Spectre硬件防御的新方法

发布时间 2022-03-14

研究人员演示绕过CPU中漏洞Spectre硬件防御的新方法


据媒体3月8日报道,VUSec研究人员演示了绕过CPU中漏洞Spectre硬件防御措施的新方法BHI(或Spectre-BHB)。低权限的攻击者利用该漏洞,可以向目标的历史记投毒,并欺骗内核跳转到注入代码的位置,并在那里执行找到的代码。研究人员还发布了一个PoC,演示如何窃取目标系统的root密码。3月9日,3个CPU制造商英特尔、AMD和Arm均发布了关于该漏洞的安全通告,并附有缓解措施和安全建议。


https://www.csoonline.com/article/3652525/new-attack-bypasses-hardware-defenses-for-spectre-flaw-in-intel-and-arm-cpus.html


俄罗斯多个官方网站遭到供应链攻击导致访问中断


据3月9日报道称,俄罗斯多个政府机构的网站因遭到供应链攻击访问中断。该国当局表示,攻击发生在本周二(3月8日),受影响的机构包括能源部、国家统计局、国家监狱局、国家法警局、国家反垄断局和文化部等。据悉,攻击者首先入侵了用于跟踪多个政府机构网站访问者数量的统计组件,进而入侵这些网站。俄罗斯数字发展部声称,这些网站在遭到攻击后的一小时内已被恢复。


https://securityaffairs.co/wordpress/128853/breaking-news/russian-government-sites-supply-chain-attack.html


Lumen称Emotet的新一轮活动已感染超过10万台设备


Lumen在3月8日发布报告称僵尸网络Emotet在10个月的短暂停歇后,正强势归来。自2021年11月以来,该活动已使用TrickBot感染了约130000个设备,遍布179个国家和地区,但尚未达到以前的规模(超过160万台设备)。Emotet的新变体采用了椭圆曲线加密(ECC)代替原来的RSA加密方案,且新增了从目标中收集运行进程列表之外的系统信息的功能。据悉,Emotet包含近200台C2服务器,其中大部分域位于美国、德国和法国等地,主要针对亚洲的目标。


https://thehackernews.com/2022/03/emotet-botnets-latest-resurgence.html


Abnormal发现近期分发BazarBackdoor的钓鱼活动


3月9日,Abnormal Security发布了关于传播BazarBackdoor的钓鱼活动的报告。BazarBackdoor是TrickBot开发的后门,目前正由Conti操控。活动开始于2021年12月,旨在安装Cobalt Strike或勒索软件。攻击者使用了公司联系表格,而非常见的钓鱼邮件。在一次攻击中,攻击者伪装成一家加拿大建筑公司的员工并提交产品供应报价请求,目标在回复后就会收到伪装成协商文件的恶意ISO文件。此外,攻击者还使用了文件共享服务,如TransferNow和WeTransfer,以防触发安全警报。


https://www.bleepingcomputer.com/news/security/corporate-website-contact-forms-used-to-spread-bazarbackdoor-malware/


Proofpoint披露TA416攻击欧洲多个外交机构的详情


Proofpoint在3月7日披露了APT组织TA416(又称Mustang Panda)攻击欧洲多个外交机构的详细信息。TA416自2020年8月以来就一直针对欧洲外交的机构。今年1月17日,Proofpoint发现该团伙使用新的分发方式,此时的攻击策略也发生了变化,利用dropper分发4个组件:恶意软件PlugX、loader、DLL搜索命令劫持程序(进程加载程序)和PDF诱饵文件。研究人员在2月28日发现,攻击者瞄准了北约国家的难民和移民服务部门的高级官员。


https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european


Symantec发布关于恶意软件Daxin的技术分析报告


3月9日,Symantec发布了关于恶意软件Daxin的通信和网络功能的技术分析报告。报告指出,Daxin在密钥交换期间支持两种计算共享密钥的方法,并由initiator通过比较选择更合适的一种,这可能是为了在升级恶意网络时不会导致中断。此外,除了2个后门之间的通信,该恶意软件还支持2种额外的通信方法,适合跨越目标组织的边界进行通信:其一是使用HTTP消息来封装后门通信,另一种是恶意驱动程序配置为与远程TCP服务器通信来进行后门通信。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage-analysis



安全工具


Master_Librarian


审计 Unix/*BSD/Linux 系统库以发现公共安全漏洞的简单工具。


https://github.com/CoolerVoid/master_librarian


geowifi


通过 BSSID 和 SSID 在不同的公共数据库上搜索 WiFi 地理位置数据。


https://github.com/GONZOsint/geowifi


wslu


这是 Windows 10 Linux 子系统的实用程序集合。


https://github.com/wslutilities/wslu


SysWhispers3


通过生成可用于进行直接系统调用的头文件/ASM 文件来帮助绕过。


https://securityonline.info/syswhispers3-av-edr-evasion-via-direct-system-calls/


frogy


子域枚举脚本,旨在创建一个开源攻击面管理解决方案。


https://github.com/iamthefrogy/frogy



安全分析


REvil 成员被引渡到美国受审 Kaseya 攻击事件


https://www.bleepingcomputer.com/news/security/revil-ransomware-member-extradited-to-us-to-stand-trial-for-kaseya-attack/


俄罗斯创建自己的 TLS 证书颁发机构以绕过制裁


https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions/


CISA新增近 100 个 Conti 恶意活动的域名的 IoC


https://www.bleepingcomputer.com/news/security/cisa-updates-conti-ransomware-alert-with-nearly-100-domain-names/


微软宣布推出适用于 PC 和移动设备的 Defender 预览版


https://news.softpedia.com/news/microsoft-announces-microsoft-defender-preview-for-pc-and-mobile-535016.shtml


近30% 的严重的 WordPress 插件漏洞没有补丁


https://www.bleepingcomputer.com/news/security/nearly-30-percent-of-critical-wordpress-plugin-bugs-dont-get-a-patch/


西门子解决了 90 多个影响第三方组件的漏洞


https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components