首頁 > 安全研究 > 安全通報 > 安全簡訊

Dr.Web發現利用Win10 ISO和EFI分區分發Clipper的活動

發布時間 2023-06-15

1、Dr.Web發現利用Win10 ISO和EFI分區分發Clipper的活動


Dr.Web在6月13日稱其在一些盜版Windows 10 ISO中發現了加密貨幣劫持程序,攻擊者通過Torrent tracker分發它們。這個木馬被稱為Trojan.Clipper.231,可將剪貼板中的加密貨幣錢包地址替換成攻擊者的地址。截至目前,攻擊者已成功竊取了價值約19000美元的加密貨幣。該活動還使用EFI(可擴展固件接口)分區作為Clipper組件的安全存儲空間,旨在繞過惡意軟件檢測。研究人員建議不要下載盜版操作系統。


https://news.drweb.com/show/?i=14712&lng=en


2、南非開發銀行透露其服務器和文件等被Akira團伙加密


據媒體6月14日報道,南非開發銀行(DBSA)遭到了Akira團伙的勒索攻擊。這家國有銀行透露,攻擊始于5月21日左右,其服務器、日志文件和文件被加密。部分信息可能已被非法訪問,涉及董事和股東的個人信息,與DBSA存在商業或雇傭關系的詳細信息,以及利益相關者的財務信息。目前,該事件仍在調查中,DBSA已經能夠恢復其IT系統,并將勒索軟件組件從其系統中刪除。


https://therecord.media/development-bank-of-southern-africa-akira-ransomware-attack


3、Mandiant發布UNC3886利用VMware ESXi漏洞的技術細節


6月13日,Mandiant發布了關于UNC3886利用VMware ESXi中零日漏洞的技術細節。這是VMware Tools的vgauth模塊中的一個身份驗證繞過漏洞(CVE-2023-20867),已于6月13日被修復。此次活動中,攻擊者利用這一漏洞在目標ESXi主機的guest VM上部署VirtualPita和VirtualPie后門,并將權限升級到root。研究人員還發現第三種惡意軟件變種(VirtualGate)作為一個memory-only dropper,對被劫持虛擬機上的第二階段DLL payload進行去混淆處理。


https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass


4、Spotify因違反GDPR被瑞典當局罰款540萬美元


據6月14日報道,音樂流媒體公司Spotify因未正確告知用戶其收集的數據是如何被使用的,被瑞典隱私保護局(IMY)罰款5800萬瑞典克朗(約合540萬美元)。該監管機構指出,根據GDPR的規定,用戶有權了解公司擁有關于個人的哪些數據以及這些數據的使用方式。但由于Spotify提供的信息一直不明確,個人很難了解他們的數據是如何被處理的,也很難檢查處理是否合法。IMY還稱,總的來說,該問題被認為是較低嚴重性的。Spotify表示計劃對該決定提出上訴。


https://www.securityweek.com/spotify-fined-5-million-for-breaching-eu-data-rules/


5、研究人員公開WP支付插件中的漏洞CVE-2023-34000


媒體6月13日稱,研究人員披露了WordPress的WooCommerce Stripe Gateway插件中的漏洞(CVE-2023-34000)。這是電商網站的支付網關插件,目前有超過900000的安裝量。該漏洞是未經身份驗證的不安全直接對象引用(IDOR)漏洞,會影響7.4.0及以下版本,已于5月30日被修復。漏洞源于訂單對象的不安全處理以及插件的javascript_params和payment_fields函數中缺乏適當的訪問控制措施,可被攻擊者用來繞過授權并訪問敏感信息。 


https://patchstack.com/articles/unauthenticated-idor-to-pii-disclosure-vulnerability-in-woocommerce-stripe-gateway-plugin/


6、Bolster披露針對上百個服裝品牌的大規模釣魚活動


6月13日,Bolster披露針對上百個服裝品牌的大規模釣魚活動,旨在竊取目標的賬戶憑證和財務信息。該活動自2022年6月以來一直活躍,在2022年11月至2023年2月達到峰值。釣魚網站冒充的品牌包括耐克、彪馬、萬斯、阿迪達斯、哥倫比亞、和卡西歐等,Bolster稱已識別出3000多個活躍的域名。與此活動相關的域名被追溯到自主系統編號AS48950,由兩個特定的互聯網服務提供商Packet Exchange Limited和Global Colocation Limited托管。


https://bolster.ai/blog/brand-impersonation-scam

上一篇 下一篇