TAC-040利用Confluence漏洞安装Ljl Backdoor
发布时间 2022-08-09
据媒体8月4日报道,Deepwatch发现TAC-040团伙利用Atlassian Confluence中漏洞的攻击活动。此次攻击发生在5月,并持续了7天,通过对网络日志的分析表明TAC-040已在目标系统中窃取了约700MB数据。疑似被利用的漏洞是对象图导航语言(OGNL)注入漏洞(CVE-2022-26134),已在2022年6月4日被修复。此外,该活动分发了新后门Ljl Backdoor,它可以收集文件和用户帐户、加载任意.NET payload并收集系统信息及目标地理位置。
https://thehackernews.com/2022/08/hackers-exploited-atlassian-confluence.html
2、微软称其最新版本某些Windows系统存在数据损坏问题
微软公司在8月8日透露,支持最新矢量高级加密标准(AES)(VAES)指令集的Windows设备可能容易受到数据损坏的影响。使用最新处理器的Windows设备在Windows 11和Windows Server 2022存在问题,受此问题影响的设备在新硬件上使用AES-XTS或AES-GCM分组密码模式。虽然该公司提到了受影响系统的会存在数据丢失风险,但并未详细说明会发生什么,该问题已在5月24日和6月14日发布的预览版和安全版中修复。但是,这些更新也会对性能造成影响,微软建议存在性能下降问题的用户安装6月23日的预览更新或7月12日的安全更新。
https://www.bleepingcomputer.com/news/microsoft/windows-devices-with-newest-cpus-are-susceptible-to-data-damage/
3、Lazarus冒充Coinbase对金融科技行业进行钓鱼攻击
媒体8月7日称,朝鲜黑客团伙Lazarus冒充Coinbase对金融科技行业进行钓鱼攻击。在该活动中,攻击者假装来自Coinbase招聘产品安全工程经理。诱饵是关于工作职位的PDF文件Coinbase_online_careers_2022_07.exe,这实际上是使用了PDF图标的恶意可执行文件,会在显示诱饵PDF的同时加载恶意DLL。一旦执行,恶意软件将使用GitHub作为C2来接收命令。美国情报部门曾提醒,Lazarus会传播木马化加密货币钱包和投资应用来窃取目标的资产。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/
4、Ahnlab发现主要针对韩国的新勒索软件GwisinLocker
Ahnlab在8月3日称其发现了一个新的勒索软件家族GwisinLocker,主要针对韩国的医疗保健、工业和制药行业。该恶意软件来源于Gwisin团伙,因为攻击恰逢韩国公众假期和凌晨,研究人员推断攻击者深知韩国文化和商业习惯。加密Windows系统时,感染始于执行MSI安装文件,需要特殊的命令行参数来正确加载作为勒索软件加密器的嵌入式DLL;而Linux版本中,加密器着重于加密VMware ESXi虚拟机,使用了带有SHA256 hashing的AES对称密钥加密。
https://asec.ahnlab.com/en/37483/
5、攻击者用美国运通等合法域的开放重定向漏洞攻击M365用户
据8月8日报道,攻击者滥用合法域(Snapchat和美国运通)上的开放重定向漏洞来窃取Microsoft 365用户的凭据。攻击发生在今年5月中旬到7月下旬,攻击者利用受信任组织和网站的域作为临时登录页面,以简化钓鱼攻击。在这两个半月内,Inky检测到从Google Workspace和Microsoft 365发送的6812封钓鱼邮件中利用了Snapchat开放重定向漏洞,2029封钓鱼邮件利用了americanexpress[.]com重定向漏洞。
https://securityaffairs.co/wordpress/134131/cyber-crime/snapchat-amex-open-redirects-phishing.html
6、Cisco发布关于C2aaS平台Dark Utilities的分析报告
8月4日,Cisco Talos发布了关于C2即服务(C2aaS)平台Dark Utilities的分析报告。Dark Utilities于2022年初发布,是一个为攻击者提供全功能C2的平台,可在目标系统上进行远程访问、命令执行、分布式拒绝服务(DDoS)攻击和加密货币挖掘。该平台目前支持基于Windows、Linux和Python的payload,并托管在星际文件系统(IPFS)中,可针对多种架构进行攻击而无需大量开发资源。研究人员称,自该恶意软件发布以来,已在野检测到它被用来进行远程访问和挖矿的活动。
https://blog.talosintelligence.com/2022/08/dark-utilities.html
京公网安备11010802024551号