JFrog发现ClickHouse DBMS中的7个RCE和DoS漏洞；华硕称其多款路由器易受Cyclops Blink的攻击

1、JFrog发现ClickHouse DBMS中的7个RCE和DoS漏洞

      JFrog研究团队在3月15日发布报告，详述了开源数据库管理系统ClickHouse中的7个漏洞。其中包括可以导致代码执行的堆缓冲区溢出漏洞（CVE-2021-43304和CVE-2021-43305）；可导致拒绝服务或信息泄露的堆越界漏洞（CVE-2021-42387和CVE-2021-42388）；以及DoS漏洞（CVE-2021-42389、CVE-2021-42390和CVE-2021-42391）。攻击者可以通过使用恶意的压缩文件利用上述任意漏洞，造成数据库服务器崩溃，建议用户升级到v21.10.2.15-stable或更高版本以修复漏洞。

https://jfrog.com/blog/7-rce-and-dos-vulnerabilities-found-in-clickhouse-dbms/

2、研究人员披露CRI-O中漏洞cr8escape的详细信息

      3月15日，CrowdStrike团队披露了CRI-O中漏洞cr8escape（CVE-2022-0811）的详细信息。CRI-O是一个轻量级的，专门对Kubernetes进行优化的容器运行时环境。该漏洞的CVSS评分为8.8，研究人员表示它可被用来绕过保护措施并在目标主机上设置任意内核参数，任何有权在使用CRI-O的Kubernetes上部署pod的攻击者都可以滥用kernel.core_pattern参数，在任意节点上以root权限进行容器逃逸和执行任意代码。该漏洞已在3月15日发布的1.23.2版本中修复。

https://thehackernews.com/2022/03/new-vulnerability-in-cri-o-engine-lets.html

3、Emotet回归，冒充美国国税局发送大量钓鱼邮件

      据媒体3月16日称，邮件安全公司Cofense发现Emotet新一轮的钓鱼活动。美国目前正值报税季，攻击者冒充互联网税务局(IRS.gov)，向目标发送2021年纳税申报表、W-9表格和报税期间常用的其它税务文件。目标执行附件中包含恶意宏的诱饵文件后，会下载并安装Emotet。之后，该恶意软件会下载额外的payload，包括Cobalt Strike和远程访问木马SystemBC等。此外，附件中的zip文件受密码保护，因此很难被安全邮件网关检测到。

https://www.cyberscoop.com/cofense-emotet-irs-phishing/

4、AhnLab发布CirenegRAT近期攻击活动的分析报告

      AhnLab在3月16日发布一份新报告，概述了GhostCringe如何针对易受攻击的数据库服务器。GhostCringe也称为CirenegRAT，是基于Gh0st RAT的代码的恶意软件之一，于2018年12月首次被发现，通过SMB漏洞进行分发。此次活动主要瞄准MS-SQL和MySQL服务器，攻击者使用进程mysqld.exe、mysqld-nt.exe和sqlserver.exe将恶意的mcsql.exe可执行文件写入磁盘。

https://asec.ahnlab.com/en/32572/

5、Sophos发布关于CryptoRom新一轮攻击的分析报告

      3月16日，Sophos发布了关于CryptoRom针对iPhone和Android用户的攻击活动的分析报告。CryptoRom于2021年首次被披露，是一个在亚洲、美国和欧洲活跃的国际诈骗团伙。研究表示，CryptoRom已经改进了技术，他们利用iOS功能TestFlight和WebClips，绕过严格的审批流程将恶意应用安装在目标的手机上。报告称，成功的CryptoRom攻击活动可能给目标造成五位数、六位数甚至七位数的损失。

https://news.sophos.com/en-us/2022/03/16/cryptorom-bitcoin-swindlers-continue-to-target-vulnerable-iphone-and-android-users/

6、华硕称其多款路由器易受Cyclops Blink的攻击

      华硕（ASUS）在3月17日发布安全通告，称其多款路由器易受Cyclops Blink的攻击。趋势科技表示该恶意软件有一个专门针对华硕路由器的模块，可读取闪存来收集有关文件、可执行文件、数据和库的信息。然后，它会在闪存中建立持久化，即使恢复出厂设置也不会删除。目前，华硕尚未发布新的固件更新以抵御Cyclops Blink的攻击，但发布了用于保护设备的缓解措施。

https://www.bleepingcomputer.com/news/security/asus-warns-of-cyclops-blink-malware-attacks-targeting-routers/

RefleXXion

      是一个实用程序，旨在帮助绕过 AV/EPP/EDR 等使用的用户模式hook。

https://github.com/hlldz/RefleXXion

LDAP shell

      这个存储库包含一个从 ldap_shell 继承的小工具。

https://github.com/z-Riocool/ldap_shell/

Viper

      是一个图形化的内网渗透工具。

https://github.com/FunnyWolf/Viper

Nivistealer 

      用于窃取目标图像的确切位置设备信息等等。

https://github.com/swagkarna/Nivistealer

俄罗斯使用乌克兰总统的deepfake发布虚假信息

https://securityaffairs.co/wordpress/129124/intelligence/russia-deepfake-video-zelenskyy.html

微软启动 2022 年 3 月 Windows 11 Bug Bash

https://news.softpedia.com/news/microsoft-kicks-off-the-march-2022-bug-bash-for-windows-11-535050.shtml

Cobalt Strike 分析和教程

https://unit42.paloaltonetworks.com/cobalt-strike-malleable-c2-profile/

伪装成产品介绍的恶意Word文件

https://asec.ahnlab.com/en/32609/

一天内数百个托管在GoDaddy的网站遭到后门攻击

https://www.wordfence.com/blog/2022/03/increase-in-malware-sightings-on-godaddy-managed-hosting/

Zimperium 发布了其年度移动威胁报告

https://www.bleepingcomputer.com/news/security/2021-mobile-security-android-more-vulnerabilities-ios-more-zero-days/

推荐阅读：

德国联邦警察局重置Emotet，该恶意软件将自动卸载