WinRAR曝新威胁，黑客可直接运行PowerShell

黑客组织NoName057（16）似乎是要攻击英国铁路。在最近的几篇帖子中，该组织声称通过针对其官方网站以及铁路公司斯坦斯特德快车来攻击英国铁路票销售服务。

根据 FalconFeedsio 的一条推文，这是门户网站上的第二次此类攻击。但是，尚未发布任何官方声明来确认所谓的网络攻击。Cyber Express 联系了英国铁路售票处，但尚未收到他们的任何官方回复。

美国防部首席数字和人工智能办公室（CDAO）数字服务局（DDS）推出“攻击五角大楼”网站（HtP），以支持落实其同名计划。HtP计划2016年拟定，采用漏洞赏金作为保护国防部关键系统和资产的创新方式，邀请经过审查的独立安全研究人员（“白帽黑客”）发现、调查、报告及修复漏洞。HtP网站用于为国防部各单位、供应商及安全研究人员提供相关信息资源，推进国防部落实包括HtP计划在内的综合网络安全战略。截至目前，在HtP计划框架下DDS已与1400多名“白帽黑客”开展40余次合作，标记并修复2100余个漏洞。

自 2022 年下半年以来，作为恶意广告活动的一部分，在野外发现了一种名为 OpcJacker 的新型信息窃取恶意软件。

“OpcJacker的主要功能包括键盘记录，截取屏幕截图，从浏览器中窃取敏感数据，加载其他模块以及替换剪贴板中的加密货币地址以进行劫持，”趋势科技研究人员Jaromir Horejsi和Joseph C. Chen说。

该活动的最初载体涉及一个虚假网站网络，这些网站宣传看似无害的软件和与加密货币相关的应用程序。2023 年2月的活动以提供 VPN 服务为借口专门挑出伊朗用户。

未知威胁行为者正在积极利用WordPress的Elementor Pro网站构建器插件中最近修补的安全漏洞。

该漏洞被描述为访问控制中断的情况，会影响版本 3.11.6 及更早版本。插件维护者在 3 月 11 日发布的 7.22.<> 版中解决了这个问题。

“改进了WooCommerce组件中的代码安全执行，”这家总部位于特拉维夫的公司在其发行说明中表示。据估计，该高级插件已在超过 12 万个网站上使用。

成功利用高严重性漏洞允许经过身份验证的攻击者完成对启用了WooCommerce的WordPress网站的接管。

某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能，这些档案包含无害的诱饵文件，使其能够在不触发目标系统上安全代理的情况下设置后门。

一个网络犯罪分子使用窃取来的凭据滥用“utilman.exe”，将其设置为启动一个受密码保护的 SFX 文件，并且该文件之前已植入系统。（Utilman 是一种可访问性应用程序，可以在用户登录之前执行，经常被黑客滥用以绕过系统身份验证。）

登录屏幕上的 utilman 工具 （来源：CrowdStrike）utilman.exe 触发的 SFX 文件不仅受密码保护，而且包含一个用作诱饵的空文本文件。SFX  文件的真正功能是滥用 WinRAR 的设置选项，以系统权限运行 PowerShell、Windows 命令提示符（cmd.exe）和任务管理器。

威胁攻击者在设置菜单下添加了创建 SFX 档案的命令，该档案可能成为“打开”目标系统的后门。

FortiGuard Labs 研究人员观察到针对 Cacti （CVE-2022-46169） 和 Realtek （CVE-2021-35394） 漏洞的持续黑客活动，以传播 ShellBot 和 Moobot 恶意软件。

在过去的几个月里，威胁行为者一直在可利用的服务器上传播ShellBot和Moobot恶意软件。在收到来自 C2 服务器的命令后，可以控制受损的受害者并将其用作 DDoS 机器人。由于 Moobot 可以杀死其他僵尸网络进程并部署暴力攻击，因此管理员应使用强密码并定期更改它们。此外，一些ShellBot变种可以从他们的C2服务器安装其他恶意软件，漏洞具有严重的安全影响，可能导致远程代码执行。因此，强烈建议尽快应用补丁和更新。

美国消费贷款公司TMX Finance披露了近三个月前首次发现的客户数据严重泄露事件。

这家总部位于佐治亚州萨凡纳的企业在提交给缅因州总检察长办公室的违规通知信中表示，违规行为可能始于 2022 年12月初。但是，该公司直到 2023年2月13日才发现它。

“所涉及的个人信息可能包括您的姓名、出生日期、护照号码、驾驶执照号码、联邦/州身份证号码、税号、社会安全号码和/或财务账户信息，以及其他信息，如电话号码、地址和电子邮件地址。”

被盗数据的各种情况将使诈骗者有机会尝试身份欺诈，例如以违规客户的名义开设新的信用额度。它还可以提供有用的信息，以制作高度令人信服的网络钓鱼电子邮件，旨在收集更多财务细节。

西门子在《明镜周刊》报道俄罗斯IT公司NTC Vulkan的一名前程序员（据报道与俄罗斯安全部门有联系）为这家德国工程和科技公司工作后展开了调查。

德国新闻杂志称，这名工人现在受雇于慕尼黑的西门子。

“我们认真对待这一点，我们正在调查这个问题。由于数据保护法，我们不能透露有关该人身份的任何信息，“西门子说。

德国内政部发言人表示，总体安全威胁被认为很高，但拒绝对这一具体案件发表评论。

据《明镜周刊》报道，NTC Vulkan的前首席开发人员正在都柏林的亚马逊网络服务（AWS）担任“高级软件开发工程师”。亚马逊没有回应置评请求。

随着使用勒索软件的攻击者继续发起漏洞利用尝试，新的警告正在响起，即将对未修补的IBM构建的企业文件传输软件的用户构成的风险。

IBM Aspera Faspex 文件交换应用程序是一种广泛采用的企业文件交换应用程序，以能够保护和快速移动大文件而闻名。

安全专家警告说，IBM 于2022 年 12 月 8日在软件中修补的一个漏洞（可用于回避身份验证和远程利用代码）正在被积极滥用，包括被多组使用加密锁定恶意软件的攻击者滥用。

西部数据（Western Digital）于当地时间4月3日公开声称，公司系统网络遭到了入侵，某未经授权的访问者获得了对多个系统的访问权限。

这家全球知名、总部位于美国加利福尼亚州的计算机驱动器制造商和数据存储服务提供商在一份新闻稿中表示，网络入侵是在上周日，也就是3 月 26 日被发现。事发后，公司实施了事件响应工作，并在专家团队的协助下开始进行调查。目前调查处于早期阶段，但根据现已掌握的迹象，公司认为入侵者已经访问了部分数据，可能会对其业务运营造成进一步破坏。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心  MACFEE  Symantec 白帽汇安全研究院   安全帮  卡巴斯基

本文版权归原作者所有，如有侵权请联系我们及时删除