抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静简讯

APT36利用CrimsonRAT新变体攻击印度的相关机构

宣布时间 2022-04-01

APT36利用CrimsonRAT新变体攻击印度的相关机构

Cisco Talos在3月29日果然了APT36针对印度政府和军事机构的新活动。APT36又称Transparent Tribe，自2016年以来一直活跃，疑似与巴基斯坦有关。此次活动开始于2021年6月，利用伪造的Kavach身份认证应用分发恶意软件，印度需要访问邮件服务或数据库等IT资源的官方组织的员工广泛使用该应用。此外，攻击者仍在使用CrimsonRAT，其2022版本新增了多个功效，如键盘记录、在目标系统上执行任意命令以及读取和删除文件等。

https://blog.talosintelligence.com/2022/03/transparent-tribe-new-campaign.html

LAPSUS$回归并泄露软件公司Globant 70GB的数据

据媒体3月30日报道，勒索团伙LAPSUS$在为期一周的短暂停歇后宣布回归。该团伙在其Telegram频道上写道“我们正式从假期回来了”，并宣布了一个文件夹列表的截图，列出了Arcserve、Banco Galicia、BNP Paribas Cardif、Citibanamex、DHL、Facebook和Stifel等公司。它还宣布了一个torrent文件，据称是Globant约70GB的数据，包罗源代码和该公司Atlassian套件相关的管理员密码。

https://thehackernews.com/2022/03/lapsus-claims-to-have-breached-it-firm.html

Morphisec发现针对加拿大分发Mars Stealer的活动

3月29日，Morphisec果然了针对Mars Stealer的最新研究结果。Mars基于旧的Oski Stealer，于2021年6月首次发现，在Raccoon Stealer突然关闭后，成为其替代方案。此次新活动伪造开源办公套件OpenOffice的官方网站，使用Google Ads广告诱使目标访问该恶意网站并下载Mars Stealer。由于被盗信息的目录因配置不妥而保持果然的状态，研究人员发现发现绝大多数目标来自加拿大。

https://blog.morphisec.com/threat-research-mars-stealer

Wyze Cam摄像头存在可用来远程访问SD卡内容的漏洞

媒体3月29日报道，Wyze Cam网络摄像头中存在漏洞。该漏洞未分配CVE ID，允许远程用户通过侦听端口80访问相机中SD卡的内容，且无需身份验证。SD卡通常用来存储视频、图像和音频记录。在Wyze Cam IoT上插入SD卡后，会在www目录中自动创建指向它的符号链接，该目录由web服务器提供服务且没有任何访问限制。漏洞由Bitdefender于2019年3月发现并上报，直到2022年1月29日才修复。

https://www.bleepingcomputer.com/news/security/wyze-cam-flaw-lets-hackers-remotely-access-your-saved-videos/

压缩法式Zlib宣布更新，修复已存在17年的宁静漏洞

据3月29日报道，压缩法式Zlib修复了已存在17年的宁静漏洞。Google的研究人员Tavis Ormandy发现Zlib中存在一个漏洞，在上报时发现该漏洞早在2018年就被陈诉并修复过，其时称其已存在13年。然而，不知为何2018年4月20日提交的补丁并没有成为Zlib的更新。直到2022年03月27日，该库的上一个版本才在2017年01月15日宣布。该漏洞在本周才被分配编号CVE-2018-25032，当压缩某些输入时会泛起问题，并存在潜在的缓冲区溢出问题。

https://nakedsecurity.sophos.com/2022/03/29/zlib-data-compressor-fixes-17-year-old-security-bug-patch-errr-now/

Symantec宣布关于新恶意软件Verblecon的分析陈诉

3月29日，Symantec宣布了关于新恶意软件Verblecon的分析陈诉。研究人员于今年1月发现了Verblecon，它已被用于安装加密矿工的活动中。该恶意软件基于Java，由于其代码的多态性使得其样本的检测率很低。该恶意软件会检查它是否在虚拟环境中运行，然后获取正在运行的进程列表以检查是否有与虚拟机系统相关的文件，所有检查都通过后会将自身复制到当地目录（%ProgramData%、%LOCALAPPDATA%、Users），并定期实验连接域名hxxps://gaymers[.]ax/和hxxp://[DGA_NAME][.]tk/。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/verblecon-sophisticated-malware-cryptocurrency-mining-discord

宁静工具

Privid

监控视频分析系统，能够以�；ひ降姆绞浇惺悠捣治�，以应对侵入性跟踪的担忧。

https://thehackernews.com/2022/03/privid-privacy-preserving-surveillance.html

Live Forensicator

用于资助实时取证和事件响应的 POWERSHELL 脚本。

https://github.com/Johnng007/Live-Forensicator#dependencies

nettrust

是一个动态的出站防火墙授权器。

https://github.com/ulfox/nettrust

宁静分析

Google Chrome 100 宣布，包罗新功效、图标等

https://www.bleepingcomputer.com/news/google/google-chrome-100-released-with-new-features-icon-and-more/

如何将 Wslink 恶意软件加载法式用于混淆的虚拟机

https://thehackernews.com/2022/03/experts-detail-virtual-machine-used-by.html

Yandex 正在向俄罗斯发送 iOS 用户数据

https://www.infosecurity-magazine.com/news/yandex-is-sending-ios-users-data/

大量矿工和后门利用 Log4J 攻击 VMware Horizon 服务器

https://news.sophos.com/en-us/2022/03/29/horde-of-miner-bots-and-backdoors-leveraged-log4j-to-attack-vmware-horizon-servers/

Proofpoint发现针对美国教育行业的大规模钓鱼活动

https://www.proofpoint.com/us/blog/threat-insight/school-hard-knocks-job-fraud-threats-target-university-students

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号