平安资讯报告
TrickBot 恶意软件团伙敞开其僵尸网络基础设施
被称为 TrickBot 的模块化 Windows 立功软件平台于周四正式敞开其基础设施,此前有报道称其在近两个月的流动停滞期间行将退休,标记着近年来最长久的恶意软件流动之一的完结。
网络安全公司 AdvIntel 和 Intel471 的双份报告暗示,随着对其恶意软件操作的可见性进步,TrickBot 的五年传奇可能行将完结,促使运营商转向更新、改良恶意软件,例如 BazarBackdoor(又名 BazarLoader)。
恶意软件跟踪钻研我的项目 Abuse.ch 的 Feodo Tracker 显示,尽管自 2021 年 12 月 16 日以来没有为 TrickBot 攻打设置新的 (C2) 服务器,但 BazarLoader 和 Emotet 正在全面开展,新的 C2 服务器最近别离于 2 月 19 日和 24 日注册。
TrickBot 的灭亡也随同着 Conti 勒索软件的运营商从前者招募顶尖人才,专一于 BazarBackdoor 等更荫蔽的代替恶意软件。
新闻来源:
https://thehackernews.com/202…
小丑窃取者恶意软件减少更多功能来吸引黑客
一种名为 Jester Stealer 的信息窃取恶意软件因其性能和实惠的价格而在公开网络立功社区中越来越受欢迎。钻研人员说,目前,Jester Stealer 以每月 99 美元的价格受权给用户,或一生拜访 249 美元。
依据 Cyble Research 的剖析,Jester Stealer 是一种新兴恶意软件,于 2021 年 7 月首次呈现在网络立功论坛上。它应用 AES-CBC-256 加密的通信,反对 Tor 网络服务器,将日志重定向到 telegram 机器人,并在泄露之前将被盗数据捆绑在内存中。
小丑偷窃者是一个.net 的恶意软件,通常通过网络钓鱼电子邮件达到指标零碎,伪装成 txt,jar,ps1,bat,png,doc,xls,pdf,mp3,mp4 或 ppt 文件附件。或者,威逼行为者应用随机散发渠道,例如通过 YouTube 推广的盗版内容和黑客工具。
它具备多个内置查看性能,通过查看剖析是否在虚拟化环境中执行来避免剖析。如果恶意软件检测到主机零碎上存在 VirtualBox,VMBox 或 VMWare,它将终止其执行。
所有被盗数据都将复制到零碎内存中,因而磁盘上不会写入任何内容。数据在通过端口 9050 泄露之前存档在 ZIP 文件中,该端口通过 TOR 代理传递。
一旦浸透实现,Jester Stealer 就会从受感化的机器中删除本人,以最大限度地缩小受害者意识到数据泄露的可能性。
新闻来源:
https://www.bleepingcomputer….
新的 ”SockDetour” 无文件后门”瞄准美国国防承包商
网络安全钻研人员曾经解脱了以前未记录的隐形自定义恶意软件 SockDetour,该恶意软件针对美国的国防承包商,指标是在受感化的 Windows 主机上用作辅助植入物。
Palo Alto Networks 的 Unit42 威逼情报在周四公布的一份报告中示意,“它很难检测,因为它在受感化的 Windows 服务器上无文件和无套接字地运行。”
钻研人员指出:” 托管 SockDetour 的 FTP 服务器是一个受损的品质网络设备提供商(QNAP)小型办公室和家庭办公室(SOHO)网络附加存储(NAS)服务器。” 已知 NAS 服务器存在多个破绽,包含近程执行代码破绽 CVE-2021-28799。
更重要的是,据说同一台服务器曾经感化了 QLocker 勒索软件,这减少了 TiltedTemple 参与者利用上述破绽取得未经受权的初始拜访的可能性。
就其自身而言,SockDetour 被设计为一个独立的后门,它劫持非法过程的网络套接字以建设本人的加密 C2 通道,而后加载从服务器检索到的未辨认的插件 DLL 文件。
新闻来源:
https://thehackernews.com/202…
恶意软件通过微软商店上的游戏应用程序流传
一种可能管制社交媒体帐户的新恶意软件正在通过微软的官网利用商店以特洛伊木马游戏应用程序的模式散发,感化了瑞典,保加利亚,俄罗斯,百慕大和西班牙的 5,000 多台 Windows 机器。
以色列网络安全公司 Check Point 将恶意软件称为 ”Electron Bot”,指的是最近流动中应用的命令和管制(C2)域。袭击者的身份尚不分明,但有证据表明他们可能来自保加利亚。
Check Point 的 Moshe Marelus 在本周公布的一份报告中示意,它次要通过微软商店平台散发,并从数十个受感化的应用程序(次要是游戏)中删除,这些应用程序由攻击者一直上传。
Electron Bot 的外围性能是关上一个暗藏的浏览器窗口,以进行 SEO 中毒,产生广告点击量,将流量疏导到 YouTube 和 SoundCloud 上托管的内容,并推广特定产品以通过广告点击产生利润或进步商店评级以取得更高的销售额。
最重要的是,它还具备能够管制 Facebook,Google 和 SoundCloud 上的社交媒体帐户的性能,包含注册新帐户,登录以及评论和喜爱其余帖子以减少观看次数。
新闻来源:
https://thehackernews.com/202…
英伟达蒙受“毁灭性”网络攻击
美国芯片制造商巨头英伟达明天证实,它目前正在考察一起“事件”,据报道该事件导致其局部零碎停机两天。
正如 The Telegraph 首次报道的那样,受到网络攻击影响的零碎包含公司的开发人员工具和电子邮件系统。报告的中断是网络入侵的后果,目前尚不分明事件期间是否有任何业务或客户数据被盗。
Nvidia 通知 BleepingComputer,事件的性质仍在评估中,公司的商业活动没有受到影响。一位外部人士将这一事件形容为“齐全毁坏”了英伟达的外部零碎。
Lapsus$ 勒索软件组织宣称他们从 Nvidia 的网络中毁坏并窃取了 1 TB 的数据。他们还在网上泄露了他们宣称是所有 Nvidia 员工的明码哈希值。
新闻来源:
https://www.bleepingcomputer….
安全漏洞威逼
CISA 正告 Zabbix 服务器中被踊跃利用的破绽
美国网络安全基础设施和安全局 (CISA) 收回的告诉正告称,威逼行为者正在利用 Zabbix 开源工具中的破绽来监控网络、服务器、虚拟机和云服务。
该机构要求联邦机构针对被跟踪为 CVE-2022-23131 和 CVE-2022-23134 的平安问题修补任何 Zabbix 服务器,以防止来自歹意网络参与者的“重大危险”。其中一个破绽的重大水平得分为 9.1(满分 10)。
利用此平安问题的攻击者能够绕过配置了平安断言标记语言(SAML,非默认状态)的服务器上的身份验证。SAML 是一种凋谢规范,提供在身份提供者和服务提供者之间替换数据的单点身份验证(单点登录)。荷兰国家网络安全核心正告说,该破绽正在被踊跃利用,它能够容许以 root 权限近程执行代码。
第二个破绽 CVE-2022-23134 是中等严重性的不当访问控制问题,容许攻击者更改配置文件(setup.php 脚本)并以晋升的权限拜访仪表板。
CISA 已将这些破绽增加到其已知被利用破绽目录中,这些破绽代表了一种常见的攻打媒介,并要求联邦机构在 3 月 8 日之前装置可用的补丁。
新闻来源:
https://www.bleepingcomputer….
思科交换机操作系统发现新的高危破绽
思科公布了软件更新,以解决其软件中的四个安全漏洞,这些破绽可能被歹意行为者武器化以管制受影响的零碎。
最要害的破绽是 CVE-2022-20650(CVSS 评分:8.8),它与 CiscoNX-OS 软件的 NX-API 性能中的命令注入缺点无关,该缺点源于用户提供的数据不足足够的输出验证。
“ 攻击者能够通过向受影响设施的 NX-API 发送精心编制的 HTTPPOST 申请来利用此破绽,” 思科说。” 胜利利用此破绽可容许攻击者在底层操作系统上以 root 权限执行任意命令。
该破绽会影响运行思科 NX-OS 软件的独立 NX-OS 模式下的 Nexus3000 系列交换机、Nexus5500 平台交换机、Nexus5600 平台交换机、Nexus6000 系列交换机和运行思科 NX-OS 软件的 Nexus9000 系列交换机。
新闻来源:
https://thehackernews.com/202…