首頁 > 安全研究 > 安全通報 > 安全簡訊

Stacked VLAN中的4個可導致DoS和MiTM攻擊的漏洞

發布時間 2022-09-30
1、Stacked VLAN中的4個可導致DoS和MiTM攻擊的漏洞

      

據媒體9月28日報道,Stacked VLAN以太網功能中的4個漏洞可被用來通過定制的數據包對目標執行拒絕服務(DoS)或中間人(MitM)攻擊。Stacked VLAN是現代路由器和交換機中的一項功能,允許公司將多個VLAN ID封裝到與上游提供商共享的單個VLAN連接中。這些漏洞存在于允許VLAN標頭堆疊的以太網封裝協議中,分別為CVE-2021-27853、CVE-2021-27854、CVE-2021-27861和CVE-2021-2786,未經身份驗證的相鄰攻擊者可以使用VLAN和LLC/SNAP標頭的組合來繞過L2網絡過濾保護,例如IPv6 RA防護、動態ARP檢查和DHCP偵聽等。


https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/


2、攻擊者利用Quantum Builder來分發Agent Tesla

      

Zscaler在9月27日披露了攻擊者利用Quantum Builder分發遠程訪問木馬Agent Tesla的活動。Quantum Builder是一種可定制的工具,在暗網以每月189歐元的價格出售,可用于生成惡意快捷方式文件以及HTA、ISO和PowerShell payload。攻擊使用的釣魚郵件聲稱是來自中國塊糖和冰糖供應商的訂單確認信息,其中的LNK文件偽裝成PDF文檔。執行LNK后,嵌入式PowerShell代碼會生成MSHTA,然后執行托管在遠程服務器上的HTA文件,最終下載并執行Agent Tesla二進制文件。


https://www.zscaler.com/blogs/security-research/agent-tesla-rat-delivered-quantum-builder-new-ttps


3、Securonix發現主要針對軍事承包商的新一輪攻擊活動

      

據9月28日報道,Securonix的研究人員發現了主要針對參與武器制造的多家軍事承包商的新活動,其中可能包括F-35 Lightning II戰斗機零件供應商。該活動始于2022年夏末,利用了魚叉式網絡釣魚作為初始感染媒介。郵件中包含一個快捷文件在執行時會連接到C2,并啟動一連串的PowerShell腳本。有趣的是,這個快捷文件沒有使用常用的cmd.exe或powershell.exe,而是依賴于C:\Windows\System32\ForFiles.exe命令來執行。此外,該活動的C2基礎設施的域于2022年7月注冊并托管在DigitalOcean上。


https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/


4、Witchetty利用隱寫術將后門隱藏在Windows圖標中

      

Symantec于9月29日稱其發現了Witchetty利用隱寫術將后門惡意軟件隱藏在Windows圖標中。研究人員透露他們正在調查一起新的間諜活動,該活動開始于2022年2月,針對中東的兩個政府機構和非洲的一家證券交易所,目前仍在進行中。攻擊者首先利用ProxyShell和ProxyLogon漏洞,在目標服務器上下載webshell,然后獲取隱藏在圖像文件中的后門。雖然該團伙仍在使用LookBack后門,但似乎已添加了幾個新的惡意軟件,如Backdoor.Stegmap,它利用隱寫術從位圖圖像中提取其payload。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage


5、Kaspersky發布關于Prilex的攻擊活動的分析報告

      

9月28日,Kaspersky發布了關于巴西黑客團伙Prilex的攻擊的分析報告。該團伙自2014年開始活躍,在2016年決定放棄ATM惡意軟件,將所有攻擊集中在PoS系統上。Prilex的最新版本在攻擊方式上與之前版本存在某些差異,即該團伙已從重放攻擊轉變為使用GHOST交易,該技術在店內支付過程中使用目標卡生成的密碼非法兌現資金。Prilex對信用卡和借記卡交易以及用于支付處理的軟件的工作原理非常熟練,因此可以不斷更新工具,并找到繞過授權策略的方法,從而執行攻擊。


https://securelist.com/prilex-atm-pos-malware-evolution/107551/


6、Lumen發布基于Go的惡意軟件Chaos的技術分析報告

      

9月28日,Lumen發布了基于Go的惡意軟件Chaos的技術分析報告。近幾個月來,Chaos的數量迅速增長,旨在將各種Windows和Linux設備、SOHO路由器和企業服務器等誘入僵尸網絡。Chaos的功能包括枚舉主機環境、運行遠程shell命令、加載附加模塊、通過竊取和暴力破解SSH私鑰自動傳播以及執行DDoS攻擊。Chaos似乎正在使用另一個僵尸網絡Kaiji的構建塊和功能,研究人員根據對100多個樣本中的功能分析,推測Chaos是Kaiji的下一次迭代。


https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/ 

上一篇 下一篇