Proofpoint发现针对法国分发后门Serpent的攻击活动
发布时间 2022-03-24Proofpoint发现针对法国分发后门Serpent的攻击活动
3月21日,Proofpoint披露了针对法国分发后门Serpent的攻击活动的详情。此次活动冒充GDPR机构,利用了Windows的开源包管理器Chocolatey,旨在向法国政府机构、建筑和房地产公司的系统上安装新的后门Serpent。除了自定义后门Serpent和Chocolatey之外,还有一个用schtasks.exe进行签名二进制代理执行的新程序(本质上是一种新的检测绕过技术)。这些证据表明,这可能是一个新组织,具有高精尖的技术和能力,且与其他的已知团伙没有联系。
https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain
木马FaceStealer已感染超过10万个Android设备
安全公司Pradeo在3月21日称,木马FaceStealer已通过Google Play商店安装了超过100000次。该恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序,旨在窃取用户的Facebook凭据。研究人员表示,当用户输入凭据时,该应用会将其发送到位于zutuu[.]info的C2,并向www.dozenorms[.]club发送进一步的数据。目前,Google已将该应用移除。
https://blog.pradeo.com/spyware-facestealer-google-play
0patch发布提权漏洞CVE-2021-34484的非官方补丁
据媒体3月21日报道,0patch发布了Windows提权漏洞CVE-2021-34484的非官方补丁。该漏洞最早由Abdelhamid Naceri发现,并于2021年8月通过微软的周二补丁修复。Naceri发现该补丁可被绕过,之后0patch发布了非官方补丁。微软又于2022年1月发布了第二个更新,并为其分配了新的CVE-2022-21919。但该补丁仍可被绕过,且微软的第二次更新替换了“profext.dll”文件,导致0patch的非官方补丁均被删除。现在,0patch又将该修复程序移植到2022年3月的周二补丁中,供所有用户免费使用。
https://www.bleepingcomputer.com/news/microsoft/windows-zero-day-flaw-giving-admin-rights-gets-unofficial-patch-again/
HP发布更新,修复影响其数百款打印机的多个漏洞
3月21日,HP已针对影响其数百款LaserJet Pro、Pagewide Pro、OfficeJet、Enterprise、Large Format和DeskJet打印机型号的多个漏洞发布了两份安全公告。第一份公告包含了可导致远程代码执行的缓冲区溢出漏洞(CVE-2022-3942),HP已为大多数受影响产品发布固件更新,并对没有补丁的设备提供了缓解方法;第二份安全公告包括CVE-2022-24291、CVE-2022-24292和CVE-2022-24293,它们可被用于信息泄露、远程代码执行和拒绝服务攻击。
https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/
美国牙科医院JDC感染恶意软件上百万患者的信息泄露
媒体3月21日报道,JDC Healthcare Management LLC(JDC)泄露了超过100万德克萨斯公民的信息。JDC总部位于达拉斯,是大型牙科保健提供商。该公司表示,他们在2021年8月9日左右发现其部分系统感染来了恶意软件,经过调查确定在2021年7月27日至8月16日,存储在JDC的部分文件已被访问或下载。此次泄露的信息涉及社会安全号码、出生日期、驾驶执照号码和财务信息等。
https://www.infosecurity-magazine.com/news/dental-care-data-breach-may-impact/
研究人员演示如何利用新的攻击方式BitB进行钓鱼
据3月21日报道,研究人员发现了新的攻击方式Browser-in-the Browser (BITB)。这种方法利用了嵌入在网站上的第三方单点登录(SSO)选项,如“使用谷歌登录”(或Facebook、Apple和Microsoft)。虽然当用户尝试通过这些方法登录时,默认是通过弹出窗口完成身份验证,但BitB攻击旨在使用HTML和CSS代码的来复制整个过程,以创建一个完全虚构的浏览器窗口。这可用来进行令人信服的钓鱼攻击,且几乎无法被检测到。
https://thehackernews.com/2022/03/new-browser-in-browser-bitb-attack.html
安全工具
Adversary3
Adversary3 是一种导航庞大的 www.malvuln.com 恶意软件漏洞数据集的工具。
https://packetstormsecurity.com/files/166384/Adversary3-main.zip
Nuclei
一个Nuclei 模板生成器 BurpSuite 插件。
https://github.com/projectdiscovery/nuclei-burp-plugin
C0deVari4nt
是一种变体分析和可视化工具,可检查代码库中的类似漏洞。
https://github.com/whitesquirrell/C0deVari4nt
uncover
使用多个搜索引擎快速发现互联网上暴露的主机。
https://github.com/projectdiscovery/uncover
安全分析
Sandworm: 一个颠覆性的故事重述
https://www.welivesecurity.com/2022/03/21/sandworm-tale-disruption-told-anew/
三星 Galaxy S22 Ultra 现在出现 GPS 错误
https://news.softpedia.com/news/samsung-galaxy-s22-ultra-now-hitting-gps-errors-because-why-not-535080.shtml
意大利数据隐私监管机构对卡巴斯基相关的潜在风险展开调查
https://securityaffairs.co/wordpress/129304/digital-id/italys-data-privacy-watchdog-investigats-kaspersky.html
乌克兰发布InvisiMole鱼叉式钓鱼攻击的警报
https://securityaffairs.co/wordpress/129337/apt/invisimole-targets-ukraine-government.html
京公网安备11010802024551号