Kaspersky发现UEFI固件rootkit CosmicStrand
发布时间 2022-07-27
Kaspersky在7月25日披露了统一可扩展固件接口(UEFI)rootkit CosmicStrand的技术细节。研究人员表示,该rootkit位于技嘉或华硕主板的固件映像中,这是2013年至2015年之间的旧硬件,现在大部分已停产。这些映像都与使用H81芯片组的设计有关,这表明其中可能存在一个常见漏洞,可被攻击者用来将rootkit注入固件的映像中。目前,感染的初始访问媒介仍然未知。
https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
2、攻击者利用PrestaShop平台中漏洞入侵在线商店
据7月25日报道,攻击者利用开源电子商务平台PrestaShop中的漏洞(CVE-2022-36408)攻击在线商店。PrestaShop是欧洲和拉丁美洲领先的开源电子商务解决方案,被全球近300000家在线商家使用。该漏洞影响了PrestaShop 1.6.0.10或更高版本,以及1.7.8.2或更高版本中运行了易被SQL注入攻击的模块(如Wishlist 2.0.0至2.1.0模块)。利用该漏洞,攻击者可以执行任意代码并窃取客户的支付信息,该漏洞已在1.7.8.7版本中修复。
https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html
3、研究人员透露QBot利用Windows计算器感染目标设备
7月24日报道,ProxyLife发现至少从7月11日起,Qbot就一直在滥用Windows 7 Calculator应用进行DLL侧加载攻击。活动使用的恶意邮件中有一个HTML附件,会下载包含ISO文件的ZIP。ISO中有一个.LNK 文件、“calc.exe”(Windows计算器)副本和两个DLL文件,即WindowsCodecs.dll和名为7533.dll的payload。.LNK快捷方式指向Windows中的计算器应用,加载后Windows 7计算器会自动搜索并加载合法WindowsCodecs DLL文件。但它不会检查某些硬编码路径中的DLL,如果将其与Calc.exe放在同一文件夹中,它将加载具有相同名称的所有DLL。
https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/
4、印度保险公司Policybazaar称其系统被未授权访问
媒体7月19日称,印度保险公司Policybazaar遭到了未经授权的访问。该公司的母公司PB Fintech在上周日发布通告,称它在7月19日发现了利用其系统中漏洞的非法的未经授权的访问。该公司表示,目前已修复漏洞,并已启动对系统的审计,审查发现没有任何重要的客户数据泄露。泄露通知尚未提及哪些数据已被泄露或有多少客户受到影响。此外,PB Fintech的股价从上周五的522卢比下跌至周一的499.70卢比。
https://www.infosecurity-magazine.com/news/indian-insurance-policybazaar/
5、黑客在暗网公开Rust开发的的某窃取程序的源代码
媒体7月25日称,黑客在暗网公开了用Rust开发的的某信息窃取恶意软件的源代码。该恶意软件开发者声称只用了六个小时就开发出来了,它非常隐蔽,VirusTotal返回的检测率约为22%。Cyble将其命名为Luca Stealer,执行时它会从30个基于Chromium的浏览器中窃取数据,主要针对密码管理器浏览器插件。Cyble报告已经检测到至少25个在野利用的Luca Stealer样本,尚不清楚这种新的恶意软件是否会被大规模部署。虽然该恶意软件由跨平台语言Rust编写,但目前其只针对Windows系统。
https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/
6、微软发布利用恶意IIS扩展的攻击活动的分析报告
7月26,微软发布了关于利用Internet信息服务(IIS)扩展的攻击活动的分析。报告指出,攻击者越来越多地使用恶意IIS Web服务器扩展作为服务器的隐蔽后门,因为与Web shell相比,它的检测率较低。通常,攻击者首先会利用托管应用中的一个漏洞开始初始访问,然后安装一个脚本Webshell作为第一阶段payload。之后,攻击者会安装一个IIS后门,以对服务器进行隐蔽和持久的访问。安装后,恶意IIS模块会从目标系统的内存中窃取凭据,收集信息,并安装更多payload。微软预计未来会有更多此类攻击。
https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/
京公网安备11010802024551号