Fortinet称SSL-VPN漏洞CVE-2022-42475已被在野利用
发布时间 2023-01-17
Fortinet在1月11日称其FortiOS SSL-VPN中基于堆的缓冲区溢出漏洞已被在野利用。该漏洞追踪为CVE-2022-42475,CVSS评分为9.8,已于2022年12月份修复。研究人员指出,漏洞利用的复杂性表明对手是一个老练的攻击者,并且主要针对政府或与政府相关的组织。攻击者利用该漏洞分发为FortiOS定制的通用Linux植入程序的变体。恶意二进制文件位于/data/lib/libips.bak,攻击者将其伪装成了位于/data/lib/libips.so的Fortinet IPS引擎的一个组件。
https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd
2、安全公司Avast发布勒索软件BianLian的免费解密器
据媒体1月16日报道,安全公司Avast发布了勒索软件BianLian的免费解密器。BianLian是一种基于Go的针对Windows系统的勒索软件,它使用对称AES-256算法和CBC密码模式来加密所有可访问驱动器上的1013多个文件扩展名。Avast发布的解密工具只能帮助被BianLian已知变种攻击的用户,如果黑客使用的是研究人员尚未发现的新版本恶意软件,则该工具目前无济于事。不过,Avast表示该解密器正在开发中,很快就会添加解密更多变体的功能。
https://www.bleepingcomputer.com/news/security/avast-releases-free-bianlian-ransomware-decryptor/
3、研究人员发现亚马逊上出售的T95安卓电视盒预装恶意软件
据1月12日报道,研究人员Daniel Milisic发现在亚马逊购买的T95安卓电视盒被预装了持久的、复杂的恶意软件。T95流媒体设备使用带有测试密钥签名的基于Android 10的ROM,以及通过以太网和WiFi打开的ADB。Milisic发现该设备试图连接到多个与活动恶意软件相关的IP地址,并认为安装在设备上的恶意软件是一种类似于CopyCat的变种。此外,该恶意软件试图从ycxrl.com、cbphe.com和cbpheback.com获取额外的payload。研究人员为T95用户提供了清除恶意软件的方法。
https://www.bleepingcomputer.com/news/security/android-tv-box-on-amazon-came-pre-installed-with-malware/
4、SentinelOne披露NoName057(16)针对乌克兰等国的DDoS攻击
SentinelOne于1月12日披露了黑客团伙NoName057(16)针对乌克兰和北约各国组织的DDoS攻击。这些攻击始于2022年3月,主要针对政府机构和关键基础设施组织。上周,该团伙中断了丹麦金融部门的服务。最近的其它攻击活动涉及波兰和立陶宛等国家。1月11日,研究人员发现NoName057(16)开始针对2023年捷克总统选举候选人的网站。目前,SentinelLabs已经确定了该团伙是如何通过公共Telegram channel、志愿者推动的DDoS支付计划、支持多操作系统的工具包和GitHub进行运营。
https://www.sentinelone.com/labs/noname05716-the-pro-russian-hacktivist-group-targeting-nato/
5、StrRAT和Ratty等RAT通过多语言文件分发来绕过检测
1月12日,Deep Instinct报告称StrRAT和Ratty的运营团队正在使用多语言MSI/JAR和CAB/JAR文件来绕过安全工具的检测。Polyglot文件以某种方式组合了两种或多种文件格式,使它们可以被多个不同的应用程序无误地解释和启动。此活动中使用的多语言程序通过Sendgrid和URL缩短服务传播,而恶意软件payload存储在Discord中。研究人员表示,StrRAT和Ratty的多个多语言程序使用相同的C2地址,并由同一家保加利亚公司托管,说明这两个恶意软件有可能来自同一黑客团伙。
https://www.deepinstinct.com/blog/malicious-jars-and-polyglot-files-who-do-you-think-you-jar
6、Check Point发布2022年12月全球威胁指数的分析报告
1月13日,Check Point发布了2022年12月全球威胁指数的分析报告。报告指出,Qbot是12月最常见的恶意软件,影响了全球7%的组织,其次是Emotet(为4%)和XMRig(为3%)。教育和研究行业仍然是遭到攻击最严重的行业,其次是军政行业以及医疗保健行业。最常被利用的漏洞Web服务器暴露的Git存储库信息泄露漏洞,然后是Web服务器恶意URL目录遍历漏洞和HTTP上的命令注入漏洞。12月,Anubis仍然是最流行的移动恶意软件,其次是Hiddad和AlienBot。
https://blog.checkpoint.com/2023/01/13/december-2022s-most-wanted-malware-glupteba-entering-top-ten-and-qbot-in-first-place/
京公网安备11010802024551号