正文

Kaspersky发现UEFI固件rootkit CosmicStrand;微软发布利用恶意IIS扩展的攻击活动的分析报告

admin
admin V管理员 /0 评论 /395 阅读
0727
此篇文章发布距今已超过836天,您需要注意文章的内容或图片是否可用!
Kaspersky发现UEFI固件rootkit CosmicStrand;微软发布利用恶意IIS扩展的攻击活动的分析报告

每日头条


1、Kaspersky发现UEFI固件rootkit CosmicStrand 

      Kaspersky在7月25日披露了统一可扩展固件接口(UEFI)rootkit CosmicStrand的技术细节。研究人员表示,该rootkit位于技嘉或华硕主板的固件映像中,这是2013年至2015年之间的旧硬件,现在大部分已停产。这些映像都与使用H81芯片组的设计有关,这表明其中可能存在一个常见漏洞,可被攻击者用来将rootkit注入固件的映像中。目前,感染的初始访问媒介仍然未知。

https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/


2、攻击者利用PrestaShop平台中漏洞入侵在线商店

      据7月25日报道,攻击者利用开源电子商务平台PrestaShop中的漏洞(CVE-2022-36408)攻击在线商店。PrestaShop是欧洲和拉丁美洲领先的开源电子商务解决方案,被全球近300000家在线商家使用。该漏洞影响了PrestaShop 1.6.0.10或更高版本,以及1.7.8.2或更高版本中运行了易被SQL注入攻击的模块(如Wishlist 2.0.0至2.1.0模块)。利用该漏洞,攻击者可以执行任意代码并窃取客户的支付信息,该漏洞已在1.7.8.7版本中修复。

https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html


3、研究人员透露QBot利用Windows计算器感染目标设备

      7月24日报道,ProxyLife发现至少从7月11日起,Qbot就一直在滥用Windows 7 Calculator应用进行DLL侧加载攻击。活动使用的恶意邮件中有一个HTML附件,会下载包含ISO文件的ZIP。ISO中有一个.LNK 文件、“calc.exe”(Windows计算器)副本和两个DLL文件,即WindowsCodecs.dll和名为7533.dll的payload。.LNK快捷方式指向Windows中的计算器应用,加载后Windows 7计算器会自动搜索并加载合法WindowsCodecs DLL文件。但它不会检查某些硬编码路径中的DLL,如果将其与Calc.exe放在同一文件夹中,它将加载具有相同名称的所有DLL。

https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/


4、印度保险公司Policybazaar称其系统被未授权访问

      媒体7月19日称,印度保险公司Policybazaar遭到了未经授权的访问。该公司的母公司PB Fintech在上周日发布通告,称它在7月19日发现了利用其系统中漏洞的非法的未经授权的访问。该公司表示,目前已修复漏洞,并已启动对系统的审计,审查发现没有任何重要的客户数据泄露。泄露通知尚未提及哪些数据已被泄露或有多少客户受到影响。此外,PB Fintech的股价从上周五的522卢比下跌至周一的499.70卢比。

https://www.infosecurity-magazine.com/news/indian-insurance-policybazaar/


5、黑客在暗网公开Rust开发的的某窃取程序的源代码

      媒体7月25日称,黑客在暗网公开了用Rust开发的的某信息窃取恶意软件的源代码。该恶意软件开发者声称只用了六个小时就开发出来了,它非常隐蔽,VirusTotal返回的检测率约为22%。Cyble将其命名为Luca Stealer,执行时它会从30个基于Chromium的浏览器中窃取数据,主要针对密码管理器浏览器插件。Cyble报告已经检测到至少25个在野利用的Luca Stealer样本,尚不清楚这种新的恶意软件是否会被大规模部署。虽然该恶意软件由跨平台语言Rust编写,但目前其只针对Windows系统。

https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/


6、微软发布利用恶意IIS扩展的攻击活动的分析报告

      7月26,微软发布了关于利用Internet信息服务(IIS)扩展的攻击活动的分析。报告指出,攻击者越来越多地使用恶意IIS Web服务器扩展作为服务器的隐蔽后门,因为与Web shell相比,它的检测率较低。通常,攻击者首先会利用托管应用中的一个漏洞开始初始访问,然后安装一个脚本Webshell作为第一阶段payload。之后,攻击者会安装一个IIS后门,以对服务器进行隐蔽和持久的访问。安装后,恶意IIS模块会从目标系统的内存中窃取凭据,收集信息,并安装更多payload。微软预计未来会有更多此类攻击。

https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/



安全工具


DNS Tunneling

      使用powershell下载和执行payload的DNS隧道。

https://github.com/Octoberfest7/DNS_Tunneling


TerraformGoat

      是selefra研究实验室的“Vulnerable by Design”多云部署工具。

https://github.com/selefra/TerraformGoat


Zenbuster

      用Python编写的多线程和多平台URL枚举工具。

https://github.com/0xTas/zenbuster



安全分析


微软针对损坏的Windows 11开始菜单发布紧急修复

https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-emergency-fix-for-broken-windows-11-start-menu/


Windows Server 20H2下个月EOS

https://www.bleepingcomputer.com/news/microsoft/microsoft-reminder-windows-server-20h2-reaches-eos-next-month/


英国NCA去年查获了2690万美元的加密货币

https://www.infosecurity-magazine.com/news/uk-seizes-nearly-27m-in/


Enabot Ebo Air家庭安全机器人中漏洞

https://www.hackread.com/enabot-ebo-air-home-security-robot-flaws-spy-on-users/


研究人员在美国发现俄罗斯勒索软件的基础设施

https://therecord.media/researcher-finds-russia-based-ransomware-network-with-foothold-in-u-s/


医疗器械制造商在虚假索赔案中支付1300万美元

https://www.infosecurity-magazine.com/news/medical-device-maker-pay-13m-false/


Racoon Stealer归来

https://thehackernews.com/2022/07/racoon-stealer-is-back-how-to-protect.html



推荐阅读:

联想修复其笔记本的UEFI固件中漏洞,影响70多款型号

Kaspersky发现针对IIS服务器的后门SessionManager








https://ZhouSa.com