1
PART
安全资讯
PART1 恶意web重定向服务感染16500个站点以推送恶意软件 名为Parrot的新交通方向系统(TDS)依赖于服务器,服务器上有16500个大学、地方政府、成人内容平台和个人博客网站。Parrot用于恶意活动,将符合特定配置文件(位置、语言、操作系统、浏览器)的潜在受害者重定向到网络钓鱼和恶意软件投放网站等在线资源。 运行恶意活动的威胁参与者购买TDS服务来过滤传入流量,并将其发送到提供恶意内容的最终目的地。TDS也被广告商和营销人员使用,其中一些服务在过去被用来促进恶意垃圾邮件活动。 Avast的威胁分析人员发现了Parrot TDS,他们报告称,它目前用于一项名为FakeUpdate的活动,该活动通过虚假的浏览器更新通知提供远程访问特洛伊木马(RATs)。 来源:安全客 PART2 “APT-C-23”黑客行动 被追踪为“APT-C-23”的哈马斯支持的黑客组织被发现引诱在国防、法律、执法和政府机构工作的以色列官员,最终导致部署新的恶意软件。该活动涉及高水平的社会工程技巧,比如创建虚假的社交媒体档案,以及在发布间谍软件之前与目标进行长期接触。 Cybereason的分析师称这一新活动为“胡须芭比行动”,APT-C-23还为Windows和Android设备部署了新的定制后门,以防间谍活动。 这些威胁行为人利用伪造的身份和窃取的或人工智能生成的美女图片,创建了几个虚假的Facebook个人资料,并通过这些个人资料接近目标。为了让它们看起来真实,运营商数月来一直在策划这些简介,用希伯来语发布,并在以色列发布喜欢的团体和流行页面。 来源:安全客 PART3 CVE-2022-22292漏洞可能允许黑客Android设备 来自移动网络安全公司Kryptowire的研究人员在安卓9、10、11和12设备中发现了一个漏洞,被追踪为CVE-2022-22292。 该漏洞存在于预装的手机应用程序中,该应用程序在三星设备上以系统权限执行。专家指出,手机应用程序有一个不安全的组件,允许本地应用程序在没有任何用户交互的情况下执行特权操作。 远程攻击者可以触发该漏洞,强制工厂重置、拨打电话、安装/卸载应用程序、安装根证书以窃听受保护的流量,所有这些都来自后台运行的不受信任的应用程序,且未经最终用户批准。 CVE-2022-2229漏洞已被评为高严重程度,并于2021年11月27日报告给三星。该公司在2月份通过安全维护发布(SMR)过程中的发布解决了这个问题。 来源:安全客 PART4 Facebook 阻止了俄罗斯与白俄罗斯针对乌克兰的网络攻击 近日,据社交网络巨头Facebook(Meta)透露,与俄罗斯相关的攻击者正试图将社交网络武器化,以打击乌克兰。 公司方面立即采取了行动,屏蔽了大约200个在俄罗斯运营的账户。这些账户被用来虚假报告人们的各种违规行为,包括仇恨言论、霸凌言论和虚假信息。目前,这些人及其帖子已从平台上删除。 这些虚假信息的散播大多集中在乌克兰和俄罗斯用户身上,但也有以色列、美国和波兰的用户参与其中。Facebook方面还揭露了俄罗斯和白俄罗斯国家行为体正在网络上从事间谍活动和秘密影响活动,他们目标是乌克兰的电信行业、国防与能源部门、技术平台以及国外的记者和活动人士。 “这些活动似乎在俄罗斯入侵前不久加强了。比如,我们发现并干扰了与白俄罗斯克格勃(KGB)有关的刑事情报科(CIB)累犯活动,他们突然开始用波兰语和英语发帖,讲述乌克兰军队不战而降,以及该国领导人在2月24日(俄罗斯发动战争的那天)逃离该国的情况。在此之前,这些攻击者的矛头主要指向波兰虐待中东移民”,Facebook发表的报告如此写道。“3月14日,他们的焦点似乎又回到波兰,不久前他们在华沙发起了一场抗议波兰政府的活动。公司方面当天就关闭了该账号和活动。” 此外,Facebook还发现了与白俄罗斯有关的 APT Ghostwriter 组织进行的网络间谍活动和心理战。该APT 组织试图侵入数十名乌克兰军人的 Facebook 账户,并发布呼吁军队投降的视频,而这些帖子发布的流程如同其他合法账户所有者一样。截至目前,这些帖子已经被屏蔽。 来源:FreeBuf PART5 VMware 修复了多个产品中的关键漏洞 VMware已经修复了多个产品中的关键远程代码漏洞,包括VMware的工作空间一个访问、VMware身份管理器(VIDM)、VLIFE生命周期管理器、VAware自动化和VMware云基础产品。 这家虚拟化巨头敦促其客户立即解决这一关键漏洞,以防止其被利用。 VMware发布的安全建议中写道:“应根据VMSA-2021-0011中的说明立即修补或缓解此关键漏洞。此漏洞的后果非常严重。” “环境不同,对风险的容忍度也不同,有不同的安全控制和深度防御来降低风险,因此,客户必须自行决定如何处理。但是,考虑到漏洞的严重性,我们强烈建议立即采取行动。” 来源:安全客
01 明御安全网关存在命令执行漏洞(CNVD-2022-25741) 杭州安恒信息技术股份有限公司明御安全网关构建全流程防御的下一代安全防护体系,并融合传统防火墙、入侵检测、入侵防御系统、防病毒网关、上网行为管控、VPN网关、威胁情报等安全模块于一体的智慧化安全网关。 明御安全网关存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。厂商已经发布了漏洞修复程序。 【来源】CNVD 02 Oracle MySQL存在逻辑缺陷漏洞(CNVD-2022-03670)
MySQL是一个关系型数据库管理系统。 Oracle MySQL存在逻辑缺陷漏洞,攻击者可利用该漏洞获取明文密码。厂商已经发布了漏洞修复程序。 【来源】CNVD 03 Delta Electronics DIAEnergie代码问题漏洞(CNVD-2022-27549) Delta Electronics DIAEnergie是一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。 Delta Electronics DIAEnergie存在代码问题漏洞,该漏洞源于受影响的产品易受DLL劫持情况的影响。攻击者利用该漏洞可以提升权限。目前厂商已发布升级补丁以修复漏洞。 【来源】CNVD 04 Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-27550)
Delta Electronics DIAEnergie是一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。 Delta Electronics DIAEnergie存在SQL注入漏洞,该漏洞源于HandlerDialog_KID.ashx中存在SQL盲注漏洞。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。厂商已提供安全补丁以修复该漏洞。 来源:CNVD 03 PART 威胁情报 11 新发现的恶意软件以具有加密矿工的AWS Lambda 为目标
安全研究人员发现了第一个专门针对Amazon Web Services(AWS)Lambda云环境开发的带有加密矿工的恶意软件。AWS Lambda是一个无服务器计算平台,用于运行来自数百个AWS服务和软件即服务(SaaS)应用程序的代码,而无需管理服务器。 这种新的恶意软件被Cado安全研究人员称为Dennia,他们发现它被用于有限的攻击,它是一种基于Go的包装软件,旨在部署一个定制的XMRig cryptominer来为Monero cryptocurrency进行挖掘。他们发现的样本是一个64位ELF可执行文件,目标是2月份上传到VirusTotal的x86-64系统。他们后来发现了一个月前,也就是1月份上传的第二个样本,暗示这些攻击至少持续了几个月。 Cado的研究人员说:“虽然第一个样本相当无害,因为它只运行加密挖掘软件,但它展示了攻击者如何利用先进的云特定知识来利用复杂的云基础设施,并表明未来可能会发生更邪恶的攻击。”。Cado Security未能发现攻击者如何将其恶意软件部署到受损环境中。 来源:安全客 22 借壳防病毒软件,SharkBot银行木马在Google Play传播
据Security Affairs网站消息,Check Point Research (CPR) 团队的研究人员在谷歌官方 Google Play 商店中发现了几个恶意 Android 应用程序,这些应用程序伪装成防病毒软件,用于传播 SharkBot 银行木马。 Sharkbot 是攻击者用来窃取银行账户凭证的信息窃取程序,与其他 Android 银行木马一样,利用 Android 的 Accessibility Service 在合法银行应用程序之上显示虚假覆盖窗口,但Sharkbot 也使用了 Android 恶意软件很少使用的域生成算法 (DGA),一旦安装在受害者的设备上,Sharkbot 就会欺骗受害者在看起来像普通输入表单的窗口中输入他们的凭据。该恶意软件还具备检查是否在沙箱中运行的情况,以防止被研究人员分析。 研究人员认为,SharkBot 的特点之一是能够自动回复来自 Facebook Messenger 和 WhatsApp 的通知,以传播指向虚假防病毒应用程序的链接。 为了更具有针对性,Sharkbot利用恶意代码实施规避技术并使用地理围栏功能,以针对特定国家和地区的受害者,并避免感染来自印度、罗马尼亚、俄罗斯和乌克兰等地的设备。 研究人员发现,在 Google Play 商店中,共有6款看似正常的防病毒应用程序正在传播 Sharkbot,分别来自3个开发者—— Zbynek Adamcik、Adelmio Pagnotto 和 Bingo Like Inc。当研究人员检查这些帐户的历史记录时,发现其中两个在 2021 年秋季处于活跃状态。其中一些与这些帐户相关联的应用程序帐户已从 Google Play 中删除,但仍存在于非官方市场中。这可能意味着应用程序背后的攻击者仍然在参与恶意活动的同时试图保持低调。在部分应用被删除前,有的已获得超15000次下载,且大多数受害者位于意大利和英国。 在报告结尾,研究人员担忧,如果今天在 Google Play 中出现新的防病毒应用程序,说不定就是披着羊皮的狼,成为传播恶意软件的载体。在如Sharkbot的传播方案中,恶意软件本身并没有上传到 Google Play,而是通过中间链接,伪装成合法软件。 来源:FreeBuf
原文始发于微信公众号(云知云享):“APT-C-23”黑客行动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论