首頁 > 安全研究 > 安全通報 > 安全簡訊

ShroudedSnooper利用HTTPSnoop攻擊中東電信公司

發布時間 2023-09-21

1、ShroudedSnooper利用HTTPSnoop攻擊中東電信公司


據9月19日報道,Cisco Talos發現ShroudedSnooper利用新后門HTTPSnoop攻擊中東電信提供商。HTTPSnoop與Windows HTTP內核驅動程序和設備交互,偵聽特定HTTP(S) URL的傳入請求。研究人員還發現了PipeSnoop,它可以接受來自命名管道的任意shellcode并在被感染的設備上執行它。這兩個植入程序都偽裝成Palo Alto Networks的Cortex XDR產品的安全組件來繞過檢測。


https://blog.talosintelligence.com/introducing-shrouded-snooper/


2、加拿大的自助值機終端遭到DDoS攻擊入境出現問題


據媒體9月20日報道,加拿大的自助值機終端遭到DDoS攻擊,導致入境出現問題。該事件發生在上周日,加拿大全國各地的邊境檢查站值機亭的計算機出現故障,導致入境旅客辦理手續的速度減慢了一個多小時。加拿大邊境服務局(CBSA)本周二表示,影響機場自助服務終端和電子登機口的連接問題是DDoS攻擊導致的。NoName057在Telegram上宣布對此次攻擊負責。研究人員表示,這種攻擊對國家基礎設施產生真正影響的情況即使不是第一次,也是罕見的。


https://www.databreaches.net/outage-at-canadian-airports-was-from-a-ddos-attack/


3、Unit42發現假CVE-2023-40477 PoC分發VenomRAT


Unit42在9月19日稱其發現了一個偽造的WinRAR漏洞的PoC,旨在分發VenomRAT。8月17日,Zero Day Initiative公開了WinRAR中的RCE漏洞(CVE-2023-40477),黑客halersplonk于四天后向其GitHub存儲庫提交了一個偽造的PoC。該PoC實際上是對GeoServer中的SQL注入漏洞(CVE-2023-25157)的PoC的修改。執行時,PoC不會運行漏洞利用程序,而是啟動了一個感染鏈來安裝VenomRAT payload。Unit42認為攻擊者并不是專門針對研究人員的,相反,可能是希望攻擊其他試圖利用新漏洞的不法分子。


https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/


4、黑莓披露針對北美和亞太地區的活動Silent Skimmer


9月18日,黑莓披露了一個名為Silent Skimmer的新活動,主要針對北美和亞太地區的在線支付企業。該活動已持續一年多,針對托管或創建支付基礎設施的不同行業。攻擊者利用Web應用獲得初始訪問權限,然后部署各種工具和技術,包括開源工具和LOLBAS,所有工具和payload都托管在VPS上的HTTP文件服務器(HFS)中。此外,攻擊者利用ASP.NET AJAX的.NET反序列化漏洞(CVE-2019-18935)在服務器上遠程執行代碼。該活動目的是在目標實體的付款結賬頁面上部署web skimmer,以竊取用戶賬單和信用卡信息等財務數據。


https://blogs.blackberry.com/en/2023/09/silent-skimmer-online-payment-scraping-campaign-shifts-targets-from-apac-to-nala


5、國際刑事法院(ICC)透露其系統遭到黑客入侵    


媒體9月19日報道,國際刑事法院(ICC)透露其系統遭到了黑客入侵。法院在一份聲明中表示,上周末,ICC的服務部門檢測到影響其信息系統的異?;顒?,已立即采取措施應對這一網絡安全事件并減輕其影響。目前,還沒有關于網絡攻擊的性質和對ICC系統的影響程度的信息,也沒有關于攻擊者是否訪問或竊取了數據或文件的信息。該機構表示,會優先考慮確保法院的核心工作繼續進行,并將在目前進行的現有工作的基礎上加強其網絡安全框架,包括加速云技術的使用。


https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/


6、Check Point發布關于Remcos和GuLoader的分析報告


9月19日,Check Point發布了關于Remcos和GuLoader的分析報告。這兩個程序被定位為合法工具,雖然賣家也聲稱這些工具只能合法使用,但事實是他們的主要客戶正是網絡犯罪分子。研究人員發現兩者之間存在密切的聯系,由于Remcos很容易被殺毒軟件檢測到,因此很難用于攻擊,但是GuLoader可用于幫助其繞過檢測?;麨镋MINэM的人管理著合法網站BreakingSecurity和VgoStore,以新名稱TheProtect公開銷售Remcos和GuLoader。此外,EMINэM還曾參與Formbook和Amadey Loader等惡意軟件的傳播。


https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/

上一篇 下一篇