绿盟科技威胁周报(20211227-20220102)

一、热点资讯

  • 攻击者针对 HTTP/2 协议发起HTTP Desync攻击

【概述】

研究人员介绍了攻击者是利用漏洞发起HTTP Desync攻击的,目标都是一些知名网站,这些漏洞通过劫持客户端、木马化缓存、还有窃取凭据来发起攻击。并表示通过重定向 JavaScript 包含,他们可以执行恶意 JavaScript 来破坏 Netflix 帐户,并窃取密码和信用卡号。通过循环运行这种攻击,可以在没有用户交互的情况下逐渐攻击网站的所有活跃用户,这种严重程度是请求走私的典型表现。

【参考链接】https://ti.nsfocus.com/security-news/IlNaj

  • 攻击者利用Telegram 窃取加密钱包凭证

【概述】

研究人员发现,攻击者使用 Telegram 句柄“Smokes Night”来传播恶意的 Echelon 信息窃取程序,该程序窃取加密货币和其他用户帐户的凭据。并表示 在该活动中使用的恶意软件旨在从多个消息传递和文件共享平台窃取凭据,包括 Discord、Edge、FileZilla、OpenVPN、Outlook 甚至 Telegram 本身,以及许多加密货币钱包,包括 AtomicWallet、BitcoinCore、ByteCoin 、出埃及记、Jaxx 和门罗币。

【参考链接】https://ti.nsfocus.com/security-news/IlNa9

  • 黑客绕过最近修补的MS Office Bug来提供Formbook恶意软件

【概述】

安全公司的专家发现了一种新的解决方法漏洞,黑客通过该漏洞利用最近修补的 Microsoft Office 漏洞,而无需使用宏来传递 Formbook 恶意软件。该漏洞允许攻击者执行多个任意代码和命令。并表示在 Word 文档中,该漏洞利用一种机制下载加载了 PowerShell 的 Microsoft 文件柜 (CAB) RAR 存档,然后他们使用它下载恶意负载。

【参考链接】https://ti.nsfocus.com/security-news/IlNa8

  • 法国 Inetum 集团遭到勒索软件攻击

【概述】

据报道,总部位于法国的 IT 服务提供商 Inetum Group 于 2021 年 12 月 19 日遭到勒索软件攻击,在一定程度上扰乱了其部分关键业务,并给部分客户带来了不便。经初步调查显示涉及 BlackCat 勒索软件,也称为 Noberus 和 Alphv。同时网络安全研究人员表示,攻击者以用 RUST 编程语言编写的 BlackCat 以 Vmware 加载的虚拟机和管理程序为目标,可以立即传播到其他在 Windows 和 Linux 上运行的工作站和网络。ALPHV 可以采取双重勒索策略,通过向客户、合作伙伴和员工透露攻击细节和后果来威胁其损害商业空间形象的受害者。

【参考链接】https://ti.nsfocus.com/security-news/IlNap

  • 攻击者利用PseudoManuscrypt间谍软件针对数千计的工业系统发起攻击

【概述】

研究人员追踪了新的间谍软件——被称为“PseudoManuscrypt”,因为它类似于Lazarus高级持续威胁(APT)组织的“Manuscrypt”恶意软件——仅今年一年就感染了195个国家/地区的35,000多台计算机。Manuscrypt,又名NukeSped,是一系列恶意软件工具,过去曾被用于间谍活动。其中一个例子是2月份与Lazarus相关的鱼叉式网络钓鱼活动,该活动使用Manuscrypt恶意软件家族的“ThreatNeedle”工具集群来攻击国防公司。

【参考链接】https://ti.nsfocus.com/security-news/IlNaq

  • 攻击者利用新的 Android 银行恶意软件对巴西的 Itaú Unibanco 银行发起攻击

【概述】

研究人员分析了一种新的Android银行恶意软件,该恶意软件针对巴西的 Itaú Unibanco,该恶意软件通过虚假的Google Play 商店页面进行传播,这些页面以“ sincronizador.apk ”的名义托管恶意应用程序。并表示恶意应用程序通常伪装成合法应用程序来诱骗用户安装它们,并试图在受害者不知情的情况下进行欺诈性金融交易。

【参考链接】https://ti.nsfocus.com/security-news/IlNao

  • 攻击者在新的 BLISTER 恶意软件加载程序中利用有效的代码签名证书发起攻击

【概述】

研究人员新发现的 BLISTER 恶意软件加载程序利用有效的代码签名证书来逃避检测。并且这种新恶意软件背后的攻击者使用有效的代码签名证书来签署恶意软件。这种策略有助于威胁不被察觉,这也适用于 BLISTER 恶意软件。攻击者可以窃取合法的代码签名证书,也可以直接或通过前台公司从证书颁发机构购买。具有有效代码签名证书的可执行文件的审查程度通常低于未签名的可执行文件。

【参考链接】https://ti.nsfocus.com/security-news/IlNaD

  • 攻击者利用 Docker API 错误配置发起挖矿攻击

【概述】

自 2019 年以来,加密货币挖矿活动背后的黑客一直设法避免被发现。研究人员表示,这些攻击利用了错误配置的 Docker API,使他们能够进入网络并最终在受感染主机上设置后门来挖掘加密货币。这种攻击技术是基于脚本的,被称为“Autom”,因为它利用了“autom.sh”文件。

【参考链接】https://ti.nsfocus.com/security-news/IlNaP

  • 攻击者对在线密码管理器LastPass用户发起撞库攻击

【概述】

研究人员发现攻击者对在线密码管理器LastPass用户进行了大规模的撞库攻击,试图访问他们的云托管密码库。很多LastPass 用户表示,他们收到电子邮件警告,其大意是“有人尝试使用您的主密码在从未使用的设备和位置上登录您的账户,LastPass 阻止了这次登录请求,请您再次确认是您在登录吗?”。在线密码管理器主密码有泄露的风险,有攻击者(国外IP用户)试图访问、盗用他们的账户。

【参考链接】https://ti.nsfocus.com/security-news/IlNaU

  • 攻击者利用RedLine 恶意软件攻击浏览器以窃取用户密码

【概述】

研究人员发现一种名为 RedLine 的信息窃取恶意软件针对 Chrome、Opera 或 Microsoft Edge 等浏览器。Redline Stealer 是一个信息窃取器,它收集保存在网络浏览器中的帐户凭据,它于 2020 年 3 月首次出现在俄罗斯暗网上。RedLine 的目标是所有基于 Chromium 的 Web 浏览器上存在的名为“登录数据”的文件。这基本上代表了一个用于凭据存储(用户名和密码)目的的 SQLite 数据库。即使用户不选择将其凭据存储在浏览器中,密码管理系统仍会添加一个条目,指出该网站已被“列入黑名单”。即使黑客无法访问“列入黑名单”帐户的密码,这也将暗示他们存在此类帐户,这意味着他们可以决定执行社会工程/网络钓鱼攻击或凭据填充攻击。

【参考链接】https://ti.nsfocus.com/security-news/IlNaS

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment