JFrog发现200多个针对Azure开发人员的恶意NPM包

发布时间 2022-03-28

JFrog发现200多个针对Azure开发人员的恶意NPM包


JFrog在3月23日发布报告称,发现了至少218个旨在窃取个人身份信息的恶意NPM包。这是针对Azure开发人员的大规模供应链攻击,攻击者利用了域名仿冒的攻击方式,并使用自动脚本创建帐户并上传恶意包,以掩盖这些恶意包都来自同一开发者的事实。此类NPM包一旦被安装后,就会收集有关用户当前工作目录,以及与网络接口和DNS服务器相关的IP地址的信息,并将这些数据发送到硬编码的远程服务器。目前,这些恶意NPM包已被删除。


https://thehackernews.com/2022/03/over-200-malicious-npm-packages-caught.html


微软更新导致Windows Server 2019的DNS解析失败


据媒体3月24日报道,在安装2022年1月25日发布的更新(KB5009616)后,Windows Server 2019的DNS解析可能会出现问题。这是DNS存根区域无法正确加载导致的,可能触发此DNS解析问题的另外两个Windows更新是KB5010427(2月15日发布)和KB5011551(3月22日发布)。目前,Microsoft已通过已知问题回滚(KIR)功能修复了此问题。要修复此问题,管理员还需安装和配置两个组策略。


https://www.bleepingcomputer.com/news/microsoft/microsoft-recent-windows-server-updates-cause-dns-issues/


VMware发布更新,修复其Carbon Black中的2个漏洞


3月23日,VMware发布了更新,修复影响其Carbon Black App Control平台的2个漏洞。Carbon Black是应用程序控制解决方案,此次修复的漏洞分别为命令注入漏洞(CVE-2022-22951),可由于输入验证不当而导致远程执行代码;以及文件上传漏洞(CVE-2022-22952),攻击者可上传特制文件来执行任意代码。这些漏洞的CVSS评分均为9.1,但成功利用它们的前提是具有管理员或更高权限。


https://thehackernews.com/2022/03/vmware-issues-patches-for-critical.html


乌克兰CERT-UA发布关于DoubleZero攻击活动的警报


媒体3月23日报道,乌克兰CERT-UA在近期发布了一份通告,警告DoubleZero针对乌克兰组织的攻击。通告指出于3月17日首次发现活动,攻击者使用鱼叉式钓鱼攻击分发恶意软件。钓鱼邮件包含一个混淆的.NET程序,被命名为DoubleZero,是为了破坏目标系统而开发的。DoubleZero wipe使用了2种技术,使用4096字节覆盖其内容(使用FileStream.Write),或使用API调用NtFileOpen和NtFsControlFile(code:FSCTL_SET_ZERO_DATA),最后还会删除Windows注册表HKCU、HKU、HKLM和HKLM\BCD。


https://securityaffairs.co/wordpress/129417/malware/doublezero-wiper-hit-ukraine.html


攻击者利用伪装的破解RAT等恶意软件窃取目标的信息


据2月23日报道,多个安全团队发现了利用伪造的恶意软件攻击黑客的活动。ASEC在Russia black hat等黑客论坛上发现伪装成破解版BitRAT和Quasar RAT的窃取程序,目标在点击诱饵链接后会被重定向到一个Anonfiles页面,然后会下载恶意软件ClipBanker。Cyble发现了声称是提供一个月免费AvD Crypto Stealer的活动,目标在下载所谓的恶意软件构建器并启动名为“Payload.exe”的文件后,会感染针对Ethereum等的clipper恶意软件。该活动已劫持了422笔交易并窃取了1.3比特币(约54000美元)。


https://www.bleepingcomputer.com/news/security/hackers-steal-from-hackers-by-pushing-fake-malware-on-forums/


Volexity发布新Gimmick瞄准macOS用户的分析报告


3月22日,安全公司Volexity发布了新恶意软件Gimmick瞄准macOS用户的分析报告。此次活动开始于2021年底,来自于Storm Cloud团伙。该macOS变体主要使用Objective C编写,而Windows版本使用了.NET和Delphi。成功安装后,Gimmick可以作为守护程序启动,也可以以定制应用程序的形式启动,并被配置为仅在工作日与C2进行通信。此外,它还具有自我卸载功能,可以将自己从目标设备上删除。


https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/




安全工具


catalyst


是一个 SOAR 系统,可自动化警报处理和事件响应流程。


https://catalyst-soar.com/


Auto-Elevate


窃取并模拟其进程 TOKEN,并使用被盗令牌生成一个新的 SYSTEM 级进程


https://github.com/FULLSHADE/Auto-Elevate


ICMP-TransferTools


是一组脚本,旨在在受限网络环境中将文件移入和移出 Windows 主机。


https://github.com/icyguider/ICMP-TransferTools


HTTP Smuggling Calculator


通过自动制作 HTTP 请求来执行 CL.TE 和 TE.CL HTTP 请求走私攻击。


https://github.com/kleiton0x00/HTTP-Smuggling-Calculator




安全分析


FBI:2021 年因网络犯罪损失 69 亿美元


https://therecord.media/fbi-6-9-billion-lost-through-internet-crimes-in-2021/


美国起诉俄罗斯Igor Dekhtyarchuk运营暗网论坛 


https://www.bleepingcomputer.com/news/security/fbi-adds-russian-cybercrime-market-owner-to-most-wanted-list/


俄罗斯禁用谷歌新闻


https://www.bleepingcomputer.com/news/technology/russia-bans-google-news-for-unreliable-info-on-war-in-ukraine/


Microsoft PowerToys 中断 Outlook PDF 预览


https://www.bleepingcomputer.com/news/microsoft/microsoft-powertoys-breaks-outlook-pdf-preview/


微软修复了导致 Windows 蓝屏的蓝牙问题


https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bluetooth-issue-causing-windows-blue-screens/


Anonymous 发起大规模的“印刷攻击”


https://www.hackread.com/anonymous-hacks-unsecured-printers-message-russia/