APT36利用CrimsonRAT新变体攻击印度的相关机构
发布时间 2022-04-01APT36利用CrimsonRAT新变体攻击印度的相关机构
Cisco Talos在3月29日公开了APT36针对印度政府和军事机构的新活动。APT36又称Transparent Tribe,自2016年以来一直活跃,疑似与巴基斯坦有关。此次活动开始于2021年6月,利用伪造的Kavach身份认证应用分发恶意软件,印度需要访问邮件服务或数据库等IT资源的官方组织的员工广泛使用该应用。此外,攻击者仍在使用CrimsonRAT,其2022版本新增了多个功能,如键盘记录、在目标系统上执行任意命令以及读取和删除文件等。
https://blog.talosintelligence.com/2022/03/transparent-tribe-new-campaign.html
LAPSUS$回归并泄露软件公司Globant 70GB的数据
据媒体3月30日报道,勒索团伙LAPSUS$在为期一周的短暂停歇后宣布回归。该团伙在其Telegram频道上写道“我们正式从假期回来了”,并发布了一个文件夹列表的截图,列出了Arcserve、Banco Galicia、BNP Paribas Cardif、Citibanamex、DHL、Facebook和Stifel等公司。它还发布了一个torrent文件,据称是Globant约70GB的数据,包括源代码和该公司Atlassian套件相关的管理员密码。
https://thehackernews.com/2022/03/lapsus-claims-to-have-breached-it-firm.html
Morphisec发现针对加拿大分发Mars Stealer的活动
3月29日,Morphisec公开了针对Mars Stealer的最新研究结果。Mars基于旧的Oski Stealer,于2021年6月首次发现,在Raccoon Stealer突然关闭后,成为其替代方案。此次新活动伪造开源办公套件OpenOffice的官方网站,使用Google Ads广告诱使目标访问该恶意网站并下载Mars Stealer。由于被盗信息的目录因配置不当而保持公开的状态,研究人员发现发现绝大多数目标来自加拿大。
https://blog.morphisec.com/threat-research-mars-stealer
Wyze Cam摄像头存在可用来远程访问SD卡内容的漏洞
媒体3月29日报道,Wyze Cam网络摄像头中存在漏洞。该漏洞未分配CVE ID,允许远程用户通过侦听端口80访问相机中SD卡的内容,且无需身份验证。SD卡通常用来存储视频、图像和音频记录。在Wyze Cam IoT上插入SD卡后,会在www目录中自动创建指向它的符号链接,该目录由web服务器提供服务且没有任何访问限制。漏洞由Bitdefender于2019年3月发现并上报,直到2022年1月29日才修复。
https://www.bleepingcomputer.com/news/security/wyze-cam-flaw-lets-hackers-remotely-access-your-saved-videos/
压缩程序Zlib发布更新,修复已存在17年的安全漏洞
据3月29日报道,压缩程序Zlib修复了已存在17年的安全漏洞。Google的研究人员Tavis Ormandy发现Zlib中存在一个漏洞,在上报时发现该漏洞早在2018年就被报告并修复过,当时称其已存在13年。然而,不知为何2018年4月20日提交的补丁并没有成为Zlib的更新。直到2022年03月27日,该库的上一个版本才在2017年01月15日发布。该漏洞在本周才被分配编号CVE-2018-25032,当压缩某些输入时会出现问题,并存在潜在的缓冲区溢出问题。
https://nakedsecurity.sophos.com/2022/03/29/zlib-data-compressor-fixes-17-year-old-security-bug-patch-errr-now/
Symantec发布关于新恶意软件Verblecon的分析报告
3月29日,Symantec发布了关于新恶意软件Verblecon的分析报告。研究人员于今年1月发现了Verblecon,它已被用于安装加密矿工的活动中。该恶意软件基于Java,由于其代码的多态性使得其样本的检测率很低。该恶意软件会检查它是否在虚拟环境中运行,然后获取正在运行的进程列表以检查是否有与虚拟机系统相关的文件,所有检查都通过后会将自身复制到本地目录(%ProgramData%、%LOCALAPPDATA%、Users),并定期尝试连接域名hxxps://gaymers[.]ax/和hxxp://[DGA_NAME][.]tk/。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/verblecon-sophisticated-malware-cryptocurrency-mining-discord
安全工具
Privid
监控视频分析系统,能够以保护隐私的方式进行视频分析,以应对侵入性跟踪的担忧。
https://thehackernews.com/2022/03/privid-privacy-preserving-surveillance.html
Live Forensicator
用于帮助实时取证和事件响应的 POWERSHELL 脚本。
https://github.com/Johnng007/Live-Forensicator#dependencies
nettrust
是一个动态的出站防火墙授权器。
https://github.com/ulfox/nettrust
安全分析
Google Chrome 100 发布,包含新功能、图标等
https://www.bleepingcomputer.com/news/google/google-chrome-100-released-with-new-features-icon-and-more/
如何将 Wslink 恶意软件加载程序用于混淆的虚拟机
https://thehackernews.com/2022/03/experts-detail-virtual-machine-used-by.html
Yandex 正在向俄罗斯发送 iOS 用户数据
https://www.infosecurity-magazine.com/news/yandex-is-sending-ios-users-data/
大量矿工和后门利用 Log4J 攻击 VMware Horizon 服务器
https://news.sophos.com/en-us/2022/03/29/horde-of-miner-bots-and-backdoors-leveraged-log4j-to-attack-vmware-horizon-servers/
Proofpoint发现针对美国教育行业的大规模钓鱼活动
https://www.proofpoint.com/us/blog/threat-insight/school-hard-knocks-job-fraud-threats-target-university-students
京公网安备11010802024551号