ShroudedSnooper利用HTTPSnoop攻击中东电信公司

宣布时间 2023-09-21

1、ShroudedSnooper利用HTTPSnoop攻击中东电信公司


据9月19日报道 ,Cisco Talos发现ShroudedSnooper利用新后门HTTPSnoop攻击中东电信提供商。HTTPSnoop与Windows HTTP内核驱动法式和设备交互 ,侦听特定HTTP(S) URL的传入请求。研究人员还发现了PipeSnoop ,它可以接受来自命名管道的任意shellcode并在被熏染的设备上执行它。这两个植入法式都伪装成Palo Alto Networks的Cortex XDR产物的宁静组件来绕过检测。


https://blog.talosintelligence.com/introducing-shrouded-snooper/


2、加拿大的自助值机终端遭到DDoS攻击入境泛起问题


据媒体9月20日报道 ,加拿大的自助值机终端遭到DDoS攻击 ,导致入境泛起问题。该事件发生在上周日 ,加拿大全国各地的疆域检查站值机亭的计算机泛起故障 ,导致入境旅客管理手续的速度减慢了一个多小时。加拿大疆域服务局(CBSA)本周二体现 ,影响机场自助服务终端和电子登机口的连接问题是DDoS攻击导致的。NoName057在Telegram上宣布对此次攻击卖力。研究人员体现 ,这种攻击对国家基础设施发生真正影响的情况即使不是第一次 ,也是罕见的。


https://www.databreaches.net/outage-at-canadian-airports-was-from-a-ddos-attack/


3、Unit42发现假CVE-2023-40477 PoC分发VenomRAT


Unit42在9月19日称其发现了一个伪造的WinRAR漏洞的PoC ,旨在分发VenomRAT。8月17日 ,Zero Day Initiative果然了WinRAR中的RCE漏洞(CVE-2023-40477) ,黑客halersplonk于四天后向其GitHub存储库提交了一个伪造的PoC。该PoC实际上是对GeoServer中的SQL注入漏洞(CVE-2023-25157)的PoC的修改。执行时 ,PoC不会运行漏洞利用法式 ,而是启动了一个熏染链来安装VenomRAT payload。Unit42认为攻击者并不是专门针对研究人员的 ,相反 ,可能是希望攻击其他试图利用新漏洞的非法分子。


https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/


4、黑莓披露针对北美和亚太地域的活动Silent Skimmer


9月18日 ,黑莓披露了一个名为Silent Skimmer的新活动 ,主要针对北美和亚太地域的在线支付企业。该活动已连续一年多 ,针对托管或创建支付基础设施的差异行业。攻击者利用Web应用获得初始访问权限 ,然后部署种种工具和技术 ,包罗开源工具和LOLBAS ,所有工具和payload都托管在VPS上的HTTP文件服务器(HFS)中。此外 ,攻击者利用ASP.NET AJAX的.NET反序列化漏洞(CVE-2019-18935)在服务器上远程执行代码。该活动目的是在目标实体的付款结账页面上部署web skimmer ,以窃取用户账单和信用卡信息等财政数据。


https://blogs.blackberry.com/en/2023/09/silent-skimmer-online-payment-scraping-campaign-shifts-targets-from-apac-to-nala


5、国际刑事法院(ICC)透露其系统遭到黑客入侵    


媒体9月19日报道 ,国际刑事法院(ICC)透露其系统遭到了黑客入侵。法院在一份声明中体现 ,上周末 ,ICC的服务部门检测到影响其信息系统的异常活动 ,已立即接纳措施应对这一网络宁静事件并减轻其影响。目前 ,还没有关于网络攻击的性质和对ICC系统的影响水平的信息 ,也没有关于攻击者是否访问或窃取了数据或文件的信息。该机构体现 ,会优先考虑确保法院的核心事情继续进行 ,并将在目前进行的现有事情的基础上加强其网络宁静框架 ,包罗加速云技术的使用。


https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/


6、Check Point宣布关于Remcos和GuLoader的分析陈诉


9月19日 ,Check Point宣布了关于Remcos和GuLoader的分析陈诉。这两个法式被定位为合法工具 ,虽然卖家也声称这些工具只能合法使用 ,但事实是他们的主要客户正是网络犯罪分子。研究人员发现两者之间存在密切的联系 ,由于Remcos很容易被杀毒软件检测到 ,因此很难用于攻击 ,但是GuLoader可用于资助其绕过检测。化名为EMINэM的人管理着合法网站BreakingSecurity和VgoStore ,以新名称TheProtect果然销售Remcos和GuLoader。此外 ,EMINэM还曾加入Formbook和Amadey Loader等恶意软件的流传。


https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/