Fortinet检测到Deep Panda分发Fire Chili的活动
发布时间 2022-04-06Fortinet检测到Deep Panda分发Fire Chili的活动
3月30日,Fortinet发布报告称其检测到APT组织Deep Panda的攻击活动。该团伙利用Log4Shell漏洞攻击VMware Horizon服务器,最终旨在安装一个名为Fire Chili的新型rootkit。该rootkit使用Frostburn Studios(游戏开发商)和Comodo(安全软件)的证书进行数字签名,绕过安全检测。调查Deep Panda活动时,Fortinet发现其与Winnti有重叠。此次活动主要针对金融、学术、化妆品和旅游行业。
https://www.fortinet.com/blog/threat-research/deep-panda-log4shell-fire-chili-rootkits
Kaspersky称Lazarus利用木马化DeFi Wallet分发后门
Kaspersky在3月31日发布报告称,朝鲜黑客团伙Lazarus正在利用木马化DeFi应用分发后门。研究人员近期发现一个木马化DeFi Wallet,编译日期为2021年11月,可以在目标系统上安装一个功能齐全的后门,该后门伪装成了Google Chrome浏览器。目前尚不清楚该应用的分发方法,推测可能是钓鱼邮件或通过社交媒体。此外,攻击者使用了位于韩国的服务器与后门进行通信。
https://securelist.com/lazarus-trojanized-defi-app/106195/
INKY在近期发现新一轮利用Calendly的钓鱼攻击活动
据媒体3月31日报道,INKY研究团队发现利用Calendly的钓鱼活动。Calendly是一款流行的免费日历应用,集成了Zoom,可用于安排会议和约会。此次活动始于2月底,攻击者通过Calendly平台生成钓鱼邮件。首先利用Calendly添加自定义链接的功能插入恶意链接,该链接嵌入在查看文档按键中,用户点击后会被重定向到钓鱼页面,最终窃取目标的Microsoft登录凭据。
https://www.bleepingcomputer.com/news/security/calendly-actively-abused-in-microsoft-credentials-phishing/
PaloAlto Networks对客户提供的技术支持信息意外泄露
媒体3月31日报道,PaloAlto Networks(PAN) 支持系统中配置错误导致客户的敏感信息泄露。该问题由PAN的一个客户在本月发现,他称可以看到大约1989个不属于他们的组织的技术支持事件记录,其中包括用于排除错误的防火墙日志、配置转储和网络安全组(NSG)布局等。PAN表示没有任何数据被下载,并暗示此次泄露事件的范围仅限于一位客户。据悉,该问题的修复大约需要8天时间。
https://www.bleepingcomputer.com/news/security/palo-alto-networks-error-exposed-customer-support-cases-attachments/
Aqua发布针对Jupyter Notebook的勒索软件的分析报告
Aqua Security于3月29日发布了针对Jupyter的基于Python的勒索软件的分析报告。Jupyter Notebook是数据专业人员用来处理数据、编写和执行代码以及可视化结果的开源Web应用。攻击者首先通过配置错误的应用访问服务器,下载用于攻击的库和工具(例如加密程序),然后通过粘贴Python代码并执行脚本手动创建勒索软件。攻击者的身份尚不明确,研究人员认为可能与俄罗斯的黑客团伙有关。
https://blog.aquasec.com/python-ransomware-jupyter-notebook
Lab52发布与Turla相关的Android间谍软件的技术报告
4月1日,Lab52发布与Turla相关的Android间谍软件的技术报告。近期,研究人员发现了一个名为Process Manager的恶意APK。一旦安装,它会使用齿轮形图标隐藏在Android设备上,伪装成系统组件,并要求获取设备的位置、发送和阅读文本、访问存储、使用相机拍照以及录制音频等18项权限。它还会下载其它的payload,例如Roz Dhan,该间谍软件可能会通过此种方式,赚取推荐应用的佣金。
https://lab52.io/blog/complete-dissection-of-an-apk-with-a-suspicious-c2-server/
安全工具
Socid-Extractor
从个人资料网页/API 响应中提取有关用户的信息,并将其保存为机器可读格式。
https://github.com/soxoj/socid-extractor
GitBleed Tools
用于从镜像 git 存储库中提取数据。
https://github.com/nightwatchcybersecurity/gitbleed_tools
ggshield
是一个 CLI 应用程序,检测源代码中的密码。
https://github.com/GitGuardian/ggshield
PackMyPayload
用于将payload打包到作为存档/容器的输出文件中。
https://securityonline.info/packmypayload-packages-payloads-into-output-containers/
安全分析
黑客论坛上出售的新 BlackGuard 密码窃取恶意软件
https://www.bleepingcomputer.com/news/security/new-blackguard-password-stealing-malware-sold-on-hacker-forums/
FORCEDENTRY:沙盒逃逸
https://googleprojectzero.blogspot.com/2022/03/forcedentry-sandbox-escape.html
Microsoft Build 将于 5 月 24 日启动
https://news.softpedia.com/news/microsoft-build-will-kick-off-on-may-24-535139.shtml
Atento称去年的LockBit勒索攻击造成4200万美元损失
https://www.bleepingcomputer.com/news/security/lockbit-victim-estimates-cost-of-ransomware-attack-to-be-42-million/
Anonymous攻击俄罗斯投资公司Thozis Corp
https://securityaffairs.co/wordpress/129651/hacktivism/anonymous-hacked-thozis-corp.html
网络钓鱼使用 Azure 静态网页冒充微软
https://www.bleepingcomputer.com/news/microsoft/phishing-uses-azure-static-web-pages-to-impersonate-microsoft/
京公网安备11010802024551号