ShroudedSnooper利用HTTPSnoop攻击中东电信公司
发布时间 2023-09-211、ShroudedSnooper利用HTTPSnoop攻击中东电信公司
据9月19日报道,Cisco Talos发现ShroudedSnooper利用新后门HTTPSnoop攻击中东电信提供商。HTTPSnoop与Windows HTTP内核驱动程序和设备交互,侦听特定HTTP(S) URL的传入请求。研究人员还发现了PipeSnoop,它可以接受来自命名管道的任意shellcode并在被感染的设备上执行它。这两个植入程序都伪装成Palo Alto Networks的Cortex XDR产品的安全组件来绕过检测。
https://blog.talosintelligence.com/introducing-shrouded-snooper/
2、加拿大的自助值机终端遭到DDoS攻击入境出现问题
据媒体9月20日报道,加拿大的自助值机终端遭到DDoS攻击,导致入境出现问题。该事件发生在上周日,加拿大全国各地的边境检查站值机亭的计算机出现故障,导致入境旅客办理手续的速度减慢了一个多小时。加拿大边境服务局(CBSA)本周二表示,影响机场自助服务终端和电子登机口的连接问题是DDoS攻击导致的。NoName057在Telegram上宣布对此次攻击负责。研究人员表示,这种攻击对国家基础设施产生真正影响的情况即使不是第一次,也是罕见的。
https://www.databreaches.net/outage-at-canadian-airports-was-from-a-ddos-attack/
3、Unit42发现假CVE-2023-40477 PoC分发VenomRAT
Unit42在9月19日称其发现了一个伪造的WinRAR漏洞的PoC,旨在分发VenomRAT。8月17日,Zero Day Initiative公开了WinRAR中的RCE漏洞(CVE-2023-40477),黑客halersplonk于四天后向其GitHub存储库提交了一个伪造的PoC。该PoC实际上是对GeoServer中的SQL注入漏洞(CVE-2023-25157)的PoC的修改。执行时,PoC不会运行漏洞利用程序,而是启动了一个感染链来安装VenomRAT payload。Unit42认为攻击者并不是专门针对研究人员的,相反,可能是希望攻击其他试图利用新漏洞的不法分子。
https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/
4、黑莓披露针对北美和亚太地区的活动Silent Skimmer
9月18日,黑莓披露了一个名为Silent Skimmer的新活动,主要针对北美和亚太地区的在线支付企业。该活动已持续一年多,针对托管或创建支付基础设施的不同行业。攻击者利用Web应用获得初始访问权限,然后部署各种工具和技术,包括开源工具和LOLBAS,所有工具和payload都托管在VPS上的HTTP文件服务器(HFS)中。此外,攻击者利用ASP.NET AJAX的.NET反序列化漏洞(CVE-2019-18935)在服务器上远程执行代码。该活动目的是在目标实体的付款结账页面上部署web skimmer,以窃取用户账单和信用卡信息等财务数据。
https://blogs.blackberry.com/en/2023/09/silent-skimmer-online-payment-scraping-campaign-shifts-targets-from-apac-to-nala
5、国际刑事法院(ICC)透露其系统遭到黑客入侵
媒体9月19日报道,国际刑事法院(ICC)透露其系统遭到了黑客入侵。法院在一份声明中表示,上周末,ICC的服务部门检测到影响其信息系统的异常活动,已立即采取措施应对这一网络安全事件并减轻其影响。目前,还没有关于网络攻击的性质和对ICC系统的影响程度的信息,也没有关于攻击者是否访问或窃取了数据或文件的信息。该机构表示,会优先考虑确保法院的核心工作继续进行,并将在目前进行的现有工作的基础上加强其网络安全框架,包括加速云技术的使用。
https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/
6、Check Point发布关于Remcos和GuLoader的分析报告
9月19日,Check Point发布了关于Remcos和GuLoader的分析报告。这两个程序被定位为合法工具,虽然卖家也声称这些工具只能合法使用,但事实是他们的主要客户正是网络犯罪分子。研究人员发现两者之间存在密切的联系,由于Remcos很容易被杀毒软件检测到,因此很难用于攻击,但是GuLoader可用于帮助其绕过检测。化名为EMINэM的人管理着合法网站BreakingSecurity和VgoStore,以新名称TheProtect公开销售Remcos和GuLoader。此外,EMINэM还曾参与Formbook和Amadey Loader等恶意软件的传播。
https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/
京公网安备11010802024551号