首頁 > 安全研究 > 安全通報 > 安全簡訊

TAC-040利用Confluence漏洞安裝Ljl Backdoor

發布時間 2022-08-09
1、TAC-040利用Confluence中漏洞安裝Ljl Backdoor

      

據媒體8月4日報道,Deepwatch發現TAC-040團伙利用Atlassian Confluence中漏洞的攻擊活動。此次攻擊發生在5月,并持續了7天,通過對網絡日志的分析表明TAC-040已在目標系統中竊取了約700MB數據。疑似被利用的漏洞是對象圖導航語言(OGNL)注入漏洞(CVE-2022-26134),已在2022年6月4日被修復。此外,該活動分發了新后門Ljl Backdoor,它可以收集文件和用戶帳戶、加載任意.NET payload并收集系統信息及目標地理位置。


https://thehackernews.com/2022/08/hackers-exploited-atlassian-confluence.html


2、微軟稱其最新版本某些Windows系統存在數據損壞問題

      

微軟公司在8月8日透露,支持最新矢量高級加密標準(AES)(VAES)指令集的Windows設備可能容易受到數據損壞的影響。使用最新處理器的Windows設備在Windows 11和Windows Server 2022存在問題,受此問題影響的設備在新硬件上使用AES-XTS或AES-GCM分組密碼模式。雖然該公司提到了受影響系統的會存在數據丟失風險,但并未詳細說明會發生什么,該問題已在5月24日和6月14日發布的預覽版和安全版中修復。但是,這些更新也會對性能造成影響,微軟建議存在性能下降問題的用戶安裝6月23日的預覽更新或7月12日的安全更新。


https://www.bleepingcomputer.com/news/microsoft/windows-devices-with-newest-cpus-are-susceptible-to-data-damage/


3、Lazarus冒充Coinbase對金融科技行業進行釣魚攻擊

      

媒體8月7日稱,朝鮮黑客團伙Lazarus冒充Coinbase對金融科技行業進行釣魚攻擊。在該活動中,攻擊者假裝來自Coinbase招聘產品安全工程經理。誘餌是關于工作職位的PDF文件Coinbase_online_careers_2022_07.exe,這實際上是使用了PDF圖標的惡意可執行文件,會在顯示誘餌PDF的同時加載惡意DLL。一旦執行,惡意軟件將使用GitHub作為C2來接收命令。美國情報部門曾提醒,Lazarus會傳播木馬化加密貨幣錢包和投資應用來竊取目標的資產。 


https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/


4、Ahnlab發現主要針對韓國的新勒索軟件GwisinLocker    

      

Ahnlab在8月3日稱其發現了一個新的勒索軟件家族GwisinLocker,主要針對韓國的醫療保健、工業和制藥行業。該惡意軟件來源于Gwisin團伙,因為攻擊恰逢韓國公眾假期和凌晨,研究人員推斷攻擊者深知韓國文化和商業習慣。加密Windows系統時,感染始于執行MSI安裝文件,需要特殊的命令行參數來正確加載作為勒索軟件加密器的嵌入式DLL;而Linux版本中,加密器著重于加密VMware ESXi虛擬機,使用了帶有SHA256 hashing的AES對稱密鑰加密。


https://asec.ahnlab.com/en/37483/


5、攻擊者用美國運通等合法域的開放重定向漏洞攻擊M365用戶

      

據8月8日報道,攻擊者濫用合法域(Snapchat和美國運通)上的開放重定向漏洞來竊取Microsoft 365用戶的憑據。攻擊發生在今年5月中旬到7月下旬,攻擊者利用受信任組織和網站的域作為臨時登錄頁面,以簡化釣魚攻擊。在這兩個半月內,Inky檢測到從Google Workspace和Microsoft 365發送的6812封釣魚郵件中利用了Snapchat開放重定向漏洞,2029封釣魚郵件利用了americanexpress[.]com重定向漏洞。


https://securityaffairs.co/wordpress/134131/cyber-crime/snapchat-amex-open-redirects-phishing.html


6、Cisco發布關于C2aaS平臺Dark Utilities的分析報告

      

8月4日,Cisco Talos發布了關于C2即服務(C2aaS)平臺Dark Utilities的分析報告。Dark Utilities于2022年初發布,是一個為攻擊者提供全功能C2的平臺,可在目標系統上進行遠程訪問、命令執行、分布式拒絕服務(DDoS)攻擊和加密貨幣挖掘。該平臺目前支持基于Windows、Linux和Python的payload,并托管在星際文件系統(IPFS)中,可針對多種架構進行攻擊而無需大量開發資源。研究人員稱,自該惡意軟件發布以來,已在野檢測到它被用來進行遠程訪問和挖礦的活動。


https://blog.talosintelligence.com/2022/08/dark-utilities.html


上一篇 下一篇