首页 > 安全研究 > 安全通报 > 安全简讯

Cyble发现利用伪造的PoC攻击安全研究人员的活动

发布时间 2022-05-25

1、Cyble发现利用伪造的PoC攻击安全研究人员的活动

      

据媒体5月23日报道,Cyble研究人员发现了利用伪造的Windows概念证明(PoC)漏洞利用代码针对infoSec社区的恶意软件活动。近期,攻击者在用户“rkxxz”的GitHub存储库中发布了CVE-2022-24500和CVE-2022-26809的两个PoC。研究人员分析发现,这是一个假装利用IP地址的.NET应用程序。通过给样本去混淆可以看到,这个假的PoC会使用cmd.exe执行PowerShell,来安装实际的payload,即Cobalt-Strike Beacon。这并不是第一次针对安全研究人员和渗透测试人员的攻击。


https://securityaffairs.co/wordpress/131553/intelligence/fake-poc-exploits-attacks.html


2、Clearview AI被英国监管机构罚款超过750万英镑

      

英国当局在5月23日宣布对面部识别公司Clearview AI处以超过750万英镑的罚款,并命令其停止收集有关英国居民的信息并删除其数据库中的已有信息。英国信息专员表示,该公司不仅可以识别居民,还可以有效监控他们的行为并将其作为商业服务提供,这是不可接受的。据悉,该公司的数据库已积累了超过200亿张图像,澳大利亚和加拿大也在去年下令该公司删除居民的信息。


https://therecord.media/clearview-ai-ico-fine-uk-data-delete/


3、PyPI包“ctx”和PHP包“phpass”被劫持以窃取AWS密钥

      

据5月24日报道,研究人员在针对开源生态系统的软件供应链攻击中,发现了两个木马化的PyPI包和PHP包。这两个都是很长一段时间未更新的软件包,其中ctx最后一次更新在2014年12月19日,phpass自2012年8月31以来没有更新。这些恶意版本试图获得环境变量,以窃取亚马逊AWS密钥和凭证等,最后发送到名为“anti-theft-web.herokuapp[.]com”的Heroku URL。5月21日,PyPI包“ctx”已从存储库中删除。


https://thehackernews.com/2022/05/pypi-package-ctx-and-php-library-phpass.html


4、德克萨斯州交通部TxDOT工资系统的门户网站被黑

      

据5月23日报道,德克萨斯州交通部(TxDOT)为承包商提供的认证工资系统的门户网站被黑。上周末,攻击者在黑客论坛上发布帖子,称其已入侵TxDOT并窃取员工数据,还公开了部分员工的个人信息、登录凭据和网址以及承包商的项目列表。据攻击者称,数据很快就会被出售。但当被问到有没有联系TxDOT试图勒索时,他们表示不会为了金钱或敲诈勒索而做任何事情,这只是为了宣传并表明他们的安全性很差。


https://www.databreaches.net/another-texas-state-agency-data-breach-this-time-its-the-department-of-transportation/


5、Sekoia发现俄罗斯Turla针对北约组织的侦察活动

      

媒体5月23日,Sekoia在近期发现了俄罗斯的APT组织Turla针对奥地利经济商会、北约电子学习平台和波罗的海国防学院的新的一轮侦察活动。攻击者使用了仿冒的域名,并在其中托管了名为“War Bulletin 19.00 CET 27.04.docx”的恶意 Word 文档,此文件包含一个嵌入的PNG(logo.png)。因为Word文件不包含任何恶意行为,研究人员认为PNG被用于执行侦察。此外,Turla还访问目标的IP地址,这有助于后续的攻击阶段。


https://www.bleepingcomputer.com/news/security/russian-hackers-perform-reconnaissance-against-austria-estonia/


6、微软发布关于web skimming活动变化趋势的报告

      

5月23日,微软发布报告称,近期的web skimming活动现在采用了多种混淆技术来传递和隐藏恶意脚本。这与早先攻击者通过漏洞利用将恶意脚本注入电商平台和CMS的策略不同,此种威胁更容易绕过传统安全解决方案。在一个活动中,攻击者通过用PHP编码来混淆脚本,而PHP又被嵌入到一个图像文件中;还有活动在网络应用中注入恶意的JavaScript,将其伪装成Google Analytics和Meta Pixel脚本。该报告详述了近期活动中混淆技术的细节,并为防御者提供了抵御此类攻击的步骤。


https://www.microsoft.com/security/blog/2022/05/23/beneath-the-surface-uncovering-the-shift-in-web-skimming/

上一篇 下一篇