首頁 > 安全研究 > 安全通報 > 安全簡訊

Kaspersky發現UEFI固件rootkit CosmicStrand

發布時間 2022-07-27
1、Kaspersky發現UEFI固件rootkit CosmicStrand 

      

Kaspersky在7月25日披露了統一可擴展固件接口(UEFI)rootkit CosmicStrand的技術細節。研究人員表示,該rootkit位于技嘉或華碩主板的固件映像中,這是2013年至2015年之間的舊硬件,現在大部分已停產。這些映像都與使用H81芯片組的設計有關,這表明其中可能存在一個常見漏洞,可被攻擊者用來將rootkit注入固件的映像中。目前,感染的初始訪問媒介仍然未知。


https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/


2、攻擊者利用PrestaShop平臺中漏洞入侵在線商店

      

據7月25日報道,攻擊者利用開源電子商務平臺PrestaShop中的漏洞(CVE-2022-36408)攻擊在線商店。PrestaShop是歐洲和拉丁美洲領先的開源電子商務解決方案,被全球近300000家在線商家使用。該漏洞影響了PrestaShop 1.6.0.10或更高版本,以及1.7.8.2或更高版本中運行了易被SQL注入攻擊的模塊(如Wishlist 2.0.0至2.1.0模塊)。利用該漏洞,攻擊者可以執行任意代碼并竊取客戶的支付信息,該漏洞已在1.7.8.7版本中修復。


https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html


3、研究人員透露QBot利用Windows計算器感染目標設備

      

7月24日報道,ProxyLife發現至少從7月11日起,Qbot就一直在濫用Windows 7 Calculator應用進行DLL側加載攻擊?;顒邮褂玫膼阂忄]件中有一個HTML附件,會下載包含ISO文件的ZIP。ISO中有一個.LNK 文件、“calc.exe”(Windows計算器)副本和兩個DLL文件,即WindowsCodecs.dll和名為7533.dll的payload。.LNK快捷方式指向Windows中的計算器應用,加載后Windows 7計算器會自動搜索并加載合法WindowsCodecs DLL文件。但它不會檢查某些硬編碼路徑中的DLL,如果將其與Calc.exe放在同一文件夾中,它將加載具有相同名稱的所有DLL。


https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/


4、印度保險公司Policybazaar稱其系統被未授權訪問

      

媒體7月19日稱,印度保險公司Policybazaar遭到了未經授權的訪問。該公司的母公司PB Fintech在上周日發布通告,稱它在7月19日發現了利用其系統中漏洞的非法的未經授權的訪問。該公司表示,目前已修復漏洞,并已啟動對系統的審計,審查發現沒有任何重要的客戶數據泄露。泄露通知尚未提及哪些數據已被泄露或有多少客戶受到影響。此外,PB Fintech的股價從上周五的522盧比下跌至周一的499.70盧比。


https://www.infosecurity-magazine.com/news/indian-insurance-policybazaar/


5、黑客在暗網公開Rust開發的的某竊取程序的源代碼

      

媒體7月25日稱,黑客在暗網公開了用Rust開發的的某信息竊取惡意軟件的源代碼。該惡意軟件開發者聲稱只用了六個小時就開發出來了,它非常隱蔽,VirusTotal返回的檢測率約為22%。Cyble將其命名為Luca Stealer,執行時它會從30個基于Chromium的瀏覽器中竊取數據,主要針對密碼管理器瀏覽器插件。Cyble報告已經檢測到至少25個在野利用的Luca Stealer樣本,尚不清楚這種新的惡意軟件是否會被大規模部署。雖然該惡意軟件由跨平臺語言Rust編寫,但目前其只針對Windows系統。

https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/


6、微軟發布利用惡意IIS擴展的攻擊活動的分析報告

      

7月26,微軟發布了關于利用Internet信息服務(IIS)擴展的攻擊活動的分析。報告指出,攻擊者越來越多地使用惡意IIS Web服務器擴展作為服務器的隱蔽后門,因為與Web shell相比,它的檢測率較低。通常,攻擊者首先會利用托管應用中的一個漏洞開始初始訪問,然后安裝一個腳本Webshell作為第一階段payload。之后,攻擊者會安裝一個IIS后門,以對服務器進行隱蔽和持久的訪問。安裝后,惡意IIS模塊會從目標系統的內存中竊取憑據,收集信息,并安裝更多payload。微軟預計未來會有更多此類攻擊。


https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

上一篇 下一篇