抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静简讯

研究人员演示绕过CPU中漏洞Spectre硬件防御的新要领

宣布时间 2022-03-14

研究人员演示绕过CPU中漏洞Spectre硬件防御的新要领

据媒体3月8日报道，VUSec研究人员演示了绕过CPU中漏洞Spectre硬件防御措施的新要领BHI（或Spectre-BHB）。低权限的攻击者利用该漏洞，可以向目标的历史记投毒，并欺骗内核跳转到注入代码的位置，并在那里执行找到的代码。研究人员还宣布了一个PoC，演示如何窃取目标系统的root密码。3月9日，3个CPU制造商英特尔、AMD和Arm均宣布了关于该漏洞的宁静通告，并附有缓解措施和宁静建议。

https://www.csoonline.com/article/3652525/new-attack-bypasses-hardware-defenses-for-spectre-flaw-in-intel-and-arm-cpus.html

俄罗斯多个官方网站遭到供应链攻击导致访问中断

据3月9日报道称，俄罗斯多个政府机构的网站因遭到供应链攻击访问中断。该国政府体现，攻击发生在本周二（3月8日），受影响的机构包罗能源部、国家统计局、国家监狱局、国家法警局、国家反垄断局和文化部等。据悉，攻击者首先入侵了用于跟踪多个政府机构网站访问者数量的统计组件，进而入侵这些网站。俄罗斯数字生长部声称，这些网站在遭到攻击后的一小时内已被恢复。

https://securityaffairs.co/wordpress/128853/breaking-news/russian-government-sites-supply-chain-attack.html

Lumen称Emotet的新一轮活动已熏染凌驾10万台设备

Lumen在3月8日宣布陈诉称僵尸网络Emotet在10个月的短暂停歇后，正强势归来。自2021年11月以来，该活动已使用TrickBot熏染了约130000个设备，遍布179个国家和地域，但尚未到达以前的规模（凌驾160万台设备）。Emotet的新变体接纳了椭圆曲线加密(ECC)取代原来的RSA加密方案，且新增了从目标中收集运行进程列表之外的系统信息的功效。据悉，Emotet包罗近200台C2服务器，其中大部门域位于美国、德国和法国等地，主要针对亚洲的目标。

https://thehackernews.com/2022/03/emotet-botnets-latest-resurgence.html

Abnormal发现近期分发BazarBackdoor的钓鱼活动

3月9日，Abnormal Security宣布了关于流传BazarBackdoor的钓鱼活动的陈诉。BazarBackdoor是TrickBot开发的后门，目前正由Conti操控�；疃加�2021年12月，旨在安装Cobalt Strike或勒索软件。攻击者使用了公司联系表格，而非常见的钓鱼邮件。在一次攻击中，攻击者伪装成一家加拿大建筑公司的员工并提交产物供应报价请求，目标在回复后就会收到伪装成协商文件的恶意ISO文件。此外，攻击者还使用了文件共享服务，如TransferNow和WeTransfer，以防触发宁静警报。

https://www.bleepingcomputer.com/news/security/corporate-website-contact-forms-used-to-spread-bazarbackdoor-malware/

Proofpoint披露TA416攻击欧洲多个外交机构的详情

Proofpoint在3月7日披露了APT组织TA416（又称Mustang Panda）攻击欧洲多个外交机构的详细信息。TA416自2020年8月以来就一直针对欧洲外交的机构。今年1月17日，Proofpoint发现该团伙使用新的分发方式，此时的攻击计谋也发生了变化，利用dropper分发4个组件：恶意软件PlugX、loader、DLL搜索命令劫持法式(进程加载法式)和PDF诱饵文件。研究人员在2月28日发现，攻击者瞄准了北约国家的难民和移民服务部门的高级官员。

https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european

Symantec宣布关于恶意软件Daxin的技术分析陈诉

3月9日，Symantec宣布了关于恶意软件Daxin的通信和网络功效的技术分析陈诉。陈诉指出，Daxin在密钥交换期间支持两种计算共享密钥的要领，并由initiator通过比力选择更合适的一种，这可能是为了在升级恶意网络时不会导致中断。此外，除了2个后门之间的通信，该恶意软件还支持2种特别的通信要领，适合跨越目标组织的界限进行通信：其一是使用HTTP消息来封装后门通信，另一种是恶意驱动法式配置为与远程TCP服务器通信来进行后门通信。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage-analysis

宁静工具

Master_Librarian

审计 Unix/*BSD/Linux 系统库以发现公共宁静漏洞的简单工具。

https://github.com/CoolerVoid/master_librarian

geowifi

通过 BSSID 和 SSID 在差异的公共数据库上搜索 WiFi 地理位置数据。

https://github.com/GONZOsint/geowifi

wslu

这是 Windows 10 Linux 子系统的实用法式集合。

https://github.com/wslutilities/wslu

SysWhispers3

通过生成可用于进行直接系统调用的头文件/ASM 文件来资助绕过。

https://securityonline.info/syswhispers3-av-edr-evasion-via-direct-system-calls/

frogy

子域枚举脚本，旨在创建一个开源攻击面管理解决方案。

https://github.com/iamthefrogy/frogy

宁静分析

REvil 成员被引渡到美国受审 Kaseya 攻击事件

https://www.bleepingcomputer.com/news/security/revil-ransomware-member-extradited-to-us-to-stand-trial-for-kaseya-attack/

俄罗斯创建自己的 TLS 证书发表机构以绕过制裁

https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions/

CISA新增近 100 个 Conti 恶意活动的域名的 IoC

https://www.bleepingcomputer.com/news/security/cisa-updates-conti-ransomware-alert-with-nearly-100-domain-names/

微软宣布推出适用于 PC 和移动设备的 Defender 预览版

https://news.softpedia.com/news/microsoft-announces-microsoft-defender-preview-for-pc-and-mobile-535016.shtml

近30% 的严重的 WordPress 插件漏洞没有补丁

https://www.bleepingcomputer.com/news/security/nearly-30-percent-of-critical-wordpress-plugin-bugs-dont-get-a-patch/

西门子解决了 90 多个影响第三方组件的漏洞

https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号