首頁 > 安全研究 > 安全通報 > 安全簡訊

Fortinet稱SSL-VPN漏洞CVE-2022-42475已被在野利用

發布時間 2023-01-17
1、Fortinet稱SSL-VPN中漏洞CVE-2022-42475已被在野利用

      

Fortinet在1月11日稱其FortiOS SSL-VPN中基于堆的緩沖區溢出漏洞已被在野利用。該漏洞追蹤為CVE-2022-42475,CVSS評分為9.8,已于2022年12月份修復。研究人員指出,漏洞利用的復雜性表明對手是一個老練的攻擊者,并且主要針對政府或與政府相關的組織。攻擊者利用該漏洞分發為FortiOS定制的通用Linux植入程序的變體。惡意二進制文件位于/data/lib/libips.bak,攻擊者將其偽裝成了位于/data/lib/libips.so的Fortinet IPS引擎的一個組件。


https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd


2、安全公司Avast發布勒索軟件BianLian的免費解密器

      

據媒體1月16日報道,安全公司Avast發布了勒索軟件BianLian的免費解密器。BianLian是一種基于Go的針對Windows系統的勒索軟件,它使用對稱AES-256算法和CBC密碼模式來加密所有可訪問驅動器上的1013多個文件擴展名。Avast發布的解密工具只能幫助被BianLian已知變種攻擊的用戶,如果黑客使用的是研究人員尚未發現的新版本惡意軟件,則該工具目前無濟于事。不過,Avast表示該解密器正在開發中,很快就會添加解密更多變體的功能。


https://www.bleepingcomputer.com/news/security/avast-releases-free-bianlian-ransomware-decryptor/


3、研究人員發現亞馬遜上出售的T95安卓電視盒預裝惡意軟件

      

據1月12日報道,研究人員Daniel Milisic發現在亞馬遜購買的T95安卓電視盒被預裝了持久的、復雜的惡意軟件。T95流媒體設備使用帶有測試密鑰簽名的基于Android 10的ROM,以及通過以太網和WiFi打開的ADB。Milisic發現該設備試圖連接到多個與活動惡意軟件相關的IP地址,并認為安裝在設備上的惡意軟件是一種類似于CopyCat的變種。此外,該惡意軟件試圖從ycxrl.com、cbphe.com和cbpheback.com獲取額外的payload。研究人員為T95用戶提供了清除惡意軟件的方法。


https://www.bleepingcomputer.com/news/security/android-tv-box-on-amazon-came-pre-installed-with-malware/


4、SentinelOne披露NoName057(16)針對烏克蘭等國的DDoS攻擊

      

SentinelOne于1月12日披露了黑客團伙NoName057(16)針對烏克蘭和北約各國組織的DDoS攻擊。這些攻擊始于2022年3月,主要針對政府機構和關鍵基礎設施組織。上周,該團伙中斷了丹麥金融部門的服務。最近的其它攻擊活動涉及波蘭和立陶宛等國家。1月11日,研究人員發現NoName057(16)開始針對2023年捷克總統選舉候選人的網站。目前,SentinelLabs已經確定了該團伙是如何通過公共Telegram channel、志愿者推動的DDoS支付計劃、支持多操作系統的工具包和GitHub進行運營。


https://www.sentinelone.com/labs/noname05716-the-pro-russian-hacktivist-group-targeting-nato/


5、StrRAT和Ratty等RAT通過多語言文件分發來繞過檢測

      

1月12日,Deep Instinct報告稱StrRAT和Ratty的運營團隊正在使用多語言MSI/JAR和CAB/JAR文件來繞過安全工具的檢測。Polyglot文件以某種方式組合了兩種或多種文件格式,使它們可以被多個不同的應用程序無誤地解釋和啟動。此活動中使用的多語言程序通過Sendgrid和URL縮短服務傳播,而惡意軟件payload存儲在Discord中。研究人員表示,StrRAT和Ratty的多個多語言程序使用相同的C2地址,并由同一家保加利亞公司托管,說明這兩個惡意軟件有可能來自同一黑客團伙。


https://www.deepinstinct.com/blog/malicious-jars-and-polyglot-files-who-do-you-think-you-jar


6、Check Point發布2022年12月全球威脅指數的分析報告

      

1月13日,Check Point發布了2022年12月全球威脅指數的分析報告。報告指出,Qbot是12月最常見的惡意軟件,影響了全球7%的組織,其次是Emotet(為4%)和XMRig(為3%)。教育和研究行業仍然是遭到攻擊最嚴重的行業,其次是軍政行業以及醫療保健行業。最常被利用的漏洞Web服務器暴露的Git存儲庫信息泄露漏洞,然后是Web服務器惡意URL目錄遍歷漏洞和HTTP上的命令注入漏洞。12月,Anubis仍然是最流行的移動惡意軟件,其次是Hiddad和AlienBot。


https://blog.checkpoint.com/2023/01/13/december-2022s-most-wanted-malware-glupteba-entering-top-ten-and-qbot-in-first-place/


上一篇 下一篇