安全资讯报告
TrickBot恶意软件团伙关闭其僵尸网络基础设施
被称为TrickBot的模块化Windows犯罪软件平台于周四正式关闭其基础设施,此前有报道称其在近两个月的活动停滞期间即将退休,标志着近年来最持久的恶意软件活动之一的结束。
网络安全公司AdvIntel和Intel471的双份报告暗示,随着对其恶意软件操作的可见性提高,TrickBot的五年传奇可能即将结束,促使运营商转向更新、改进恶意软件,例如BazarBackdoor(又名BazarLoader)。
恶意软件跟踪研究项目Abuse.ch的Feodo Tracker显示,虽然自2021年12月16日以来没有为TrickBot攻击设置新的(C2)服务器,但BazarLoader和Emotet正在全面展开,新的C2服务器最近分别于2月19日和24日注册。
TrickBot的灭亡也伴随着Conti勒索软件的运营商从前者招募顶尖人才,专注于BazarBackdoor等更隐蔽的替代恶意软件。
新闻来源:
https://thehackernews.com/202...
小丑窃取者恶意软件增加更多功能来吸引黑客
一种名为Jester Stealer的信息窃取恶意软件因其功能和实惠的价格而在地下网络犯罪社区中越来越受欢迎。研究人员说,目前,Jester Stealer以每月99美元的价格授权给用户,或终身访问249美元。
根据Cyble Research的分析,Jester Stealer是一种新兴恶意软件,于2021年7月首次出现在网络犯罪论坛上。它使用AES-CBC-256加密的通信,支持Tor网络服务器,将日志重定向到telegram机器人,并在泄露之前将被盗数据捆绑在内存中。
小丑偷窃者是一个.net的恶意软件,通常通过网络钓鱼电子邮件到达目标系统,伪装成txt,jar,ps1,bat,png,doc,xls,pdf,mp3,mp4或ppt文件附件。或者,威胁行为者使用随机分发渠道,例如通过YouTube推广的盗版内容和黑客工具。
它具有多个内置检查功能,通过检查分析是否在虚拟化环境中执行来防止分析。如果恶意软件检测到主机系统上存在VirtualBox,VMBox或VMWare,它将终止其执行。
所有被盗数据都将复制到系统内存中,因此磁盘上不会写入任何内容。数据在通过端口9050泄露之前存档在ZIP文件中,该端口通过TOR代理传递。
一旦渗透完成,Jester Stealer就会从受感染的机器中删除自己,以最大限度地减少受害者意识到数据泄露的可能性。
新闻来源:
https://www.bleepingcomputer....
新的"SockDetour"无文件后门”瞄准美国国防承包商
网络安全研究人员已经摆脱了以前未记录的隐形自定义恶意软件SockDetour,该恶意软件针对美国的国防承包商,目标是在受感染的Windows主机上用作辅助植入物。
Palo Alto Networks的Unit42威胁情报在周四发布的一份报告中表示,“它很难检测,因为它在受感染的Windows服务器上无文件和无套接字地运行。”
研究人员指出:"托管SockDetour的FTP服务器是一个受损的质量网络设备提供商(QNAP)小型办公室和家庭办公室(SOHO)网络附加存储(NAS)服务器。"已知NAS服务器存在多个漏洞,包括远程执行代码漏洞CVE-2021-28799。
更重要的是,据说同一台服务器已经感染了QLocker勒索软件,这增加了TiltedTemple参与者利用上述漏洞获得未经授权的初始访问的可能性。
就其本身而言,SockDetour被设计为一个独立的后门,它劫持合法进程的网络套接字以建立自己的加密C2通道,然后加载从服务器检索到的未识别的插件DLL文件。
新闻来源:
https://thehackernews.com/202...
恶意软件通过微软商店上的游戏应用程序传播
一种能够控制社交媒体帐户的新恶意软件正在通过微软的官方应用商店以特洛伊木马游戏应用程序的形式分发,感染了瑞典,保加利亚,俄罗斯,百慕大和西班牙的5,000多台Windows机器。
以色列网络安全公司Check Point将恶意软件称为"Electron Bot",指的是最近活动中使用的命令和控制(C2)域。袭击者的身份尚不清楚,但有证据表明他们可能来自保加利亚。
Check Point的Moshe Marelus在本周发布的一份报告中表示,它主要通过微软商店平台分发,并从数十个受感染的应用程序(主要是游戏)中删除,这些应用程序由攻击者不断上传。
Electron Bot的核心功能是打开一个隐藏的浏览器窗口,以进行SEO中毒,产生广告点击量,将流量引导到YouTube和SoundCloud上托管的内容,并推广特定产品以通过广告点击产生利润或提高商店评级以获得更高的销售额。
最重要的是,它还具有可以控制Facebook,Google和SoundCloud上的社交媒体帐户的功能,包括注册新帐户,登录以及评论和喜欢其他帖子以增加观看次数。
新闻来源:
https://thehackernews.com/202...
英伟达遭受“毁灭性”网络攻击
美国芯片制造商巨头英伟达今天证实,它目前正在调查一起“事件”,据报道该事件导致其部分系统停机两天。
正如The Telegraph首次报道的那样,受到网络攻击影响的系统包括公司的开发人员工具和电子邮件系统。报告的中断是网络入侵的结果,目前尚不清楚事件期间是否有任何业务或客户数据被盗。
Nvidia告诉BleepingComputer,事件的性质仍在评估中,公司的商业活动没有受到影响。一位内部人士将这一事件描述为“完全破坏”了英伟达的内部系统。
Lapsus$勒索软件组织声称他们从Nvidia的网络中破坏并窃取了1 TB的数据。他们还在网上泄露了他们声称是所有Nvidia员工的密码哈希值。
新闻来源:
https://www.bleepingcomputer....
安全漏洞威胁
CISA警告Zabbix服务器中被积极利用的漏洞
美国网络安全基础设施和安全局(CISA)发出的通知警告称,威胁行为者正在利用Zabbix开源工具中的漏洞来监控网络、服务器、虚拟机和云服务。
该机构要求联邦机构针对被跟踪为CVE-2022-23131和CVE-2022-23134的安全问题修补任何Zabbix服务器,以避免来自恶意网络参与者的“重大风险”。其中一个漏洞的严重程度得分为9.1(满分10)。
利用此安全问题的攻击者可以绕过配置了安全断言标记语言(SAML,非默认状态)的服务器上的身份验证。SAML是一种开放标准,提供在身份提供者和服务提供者之间交换数据的单点身份验证(单点登录)。荷兰国家网络安全中心警告说,该漏洞正在被积极利用,它可以允许以root权限远程执行代码。
第二个漏洞CVE-2022-23134是中等严重性的不当访问控制问题,允许攻击者更改配置文件(setup.php脚本)并以提升的权限访问仪表板。
CISA已将这些漏洞添加到其已知被利用漏洞目录中,这些漏洞代表了一种常见的攻击媒介,并要求联邦机构在3月8日之前安装可用的补丁。
新闻来源:
https://www.bleepingcomputer....
思科交换机操作系统发现新的高危漏洞
思科发布了软件更新,以解决其软件中的四个安全漏洞,这些漏洞可能被恶意行为者武器化以控制受影响的系统。
最关键的漏洞是CVE-2022-20650(CVSS评分:8.8),它与CiscoNX-OS软件的NX-API功能中的命令注入缺陷有关,该缺陷源于用户提供的数据缺乏足够的输入验证。
"攻击者可以通过向受影响设备的NX-API发送精心编制的HTTPPOST请求来利用此漏洞,"思科说。"成功利用此漏洞可允许攻击者在底层操作系统上以root权限执行任意命令。
该漏洞会影响运行思科NX-OS软件的独立NX-OS模式下的Nexus3000系列交换机、Nexus5500平台交换机、Nexus5600平台交换机、Nexus6000系列交换机和运行思科NX-OS软件的Nexus9000系列交换机。
新闻来源: