抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静简讯

JFrog发现200多个针对Azure开发人员的恶意NPM包

宣布时间 2022-03-28

JFrog发现200多个针对Azure开发人员的恶意NPM包

JFrog在3月23日宣布陈诉称，发现了至少218个旨在窃取个人身份信息的恶意NPM包。这是针对Azure开发人员的大规模供应链攻击，攻击者利用了域名仿冒的攻击方式，并使用自动脚本创建帐户并上传恶意包，以掩盖这些恶意包都来自同一开发者的事实。此类NPM包一旦被安装后，就会收集有关用户当前事情目录，以及与网络接口和DNS服务器相关的IP地址的信息，并将这些数据发送到硬编码的远程服务器。目前，这些恶意NPM包已被删除。

https://thehackernews.com/2022/03/over-200-malicious-npm-packages-caught.html

微软更新导致Windows Server 2019的DNS解析失败

据媒体3月24日报道，在安装2022年1月25日宣布的更新(KB5009616)后，Windows Server 2019的DNS解析可能会泛起问题。这是DNS存根区域无法正确加载导致的，可能触发此DNS解析问题的另外两个Windows更新是KB5010427（2月15日宣布）和KB5011551（3月22日宣布）。目前，Microsoft已通过已知问题回滚(KIR)功效修复了此问题。要修复此问题，管理员还需安装和配置两个组计谋。

https://www.bleepingcomputer.com/news/microsoft/microsoft-recent-windows-server-updates-cause-dns-issues/

VMware宣布更新，修复其Carbon Black中的2个漏洞

3月23日，VMware宣布了更新，修复影响其Carbon Black App Control平台的2个漏洞。Carbon Black是应用法式控制解决方案，此次修复的漏洞分别为命令注入漏洞（CVE-2022-22951），可由于输入验证不妥而导致远程执行代码；以及文件上传漏洞（CVE-2022-22952），攻击者可上传特制文件来执行任意代码。这些漏洞的CVSS评分均为9.1，但乐成利用它们的前提是具有管理员或更高权限。

https://thehackernews.com/2022/03/vmware-issues-patches-for-critical.html

乌克兰CERT-UA宣布关于DoubleZero攻击活动的警报

媒体3月23日报道，乌克兰CERT-UA在近期宣布了一份通告，警告DoubleZero针对乌克兰组织的攻击。通告指出于3月17日首次发现活动，攻击者使用鱼叉式钓鱼攻击分发恶意软件。钓鱼邮件包罗一个混淆的.NET法式，被命名为DoubleZero，是为了破坏目标系统而开发的。DoubleZero wipe使用了2种技术，使用4096字节笼罩其内容（使用FileStream.Write），或使用API调用NtFileOpen和NtFsControlFile(code:FSCTL_SET_ZERO_DATA)，最后还会删除Windows注册表HKCU、HKU、HKLM和HKLM\BCD。

https://securityaffairs.co/wordpress/129417/malware/doublezero-wiper-hit-ukraine.html

攻击者利用伪装的破解RAT等恶意软件窃取目标的信息

据2月23日报道，多个宁静团队发现了利用伪造的恶意软件攻击黑客的活动。ASEC在Russia black hat等黑客论坛上发现伪装成破解版BitRAT和Quasar RAT的窃取法式，目标在点击诱饵链接后会被重定向到一个Anonfiles页面，然后会下载恶意软件ClipBanker。Cyble发现了声称是提供一个月免费AvD Crypto Stealer的活动，目标在下载所谓的恶意软件构建器并启动名为“Payload.exe”的文件后，会熏染针对Ethereum等的clipper恶意软件。该活动已劫持了422笔交易并窃取了1.3比特币（约54000美元）。

https://www.bleepingcomputer.com/news/security/hackers-steal-from-hackers-by-pushing-fake-malware-on-forums/

Volexity宣布新Gimmick瞄准macOS用户的分析陈诉

3月22日，宁静公司Volexity宣布了新恶意软件Gimmick瞄准macOS用户的分析陈诉。此次活动开始于2021年底，来自于Storm Cloud团伙。该macOS变体主要使用Objective C编写，而Windows版本使用了.NET和Delphi。乐成安装后，Gimmick可以作为守护法式启动，也可以以定制应用法式的形式启动，并被配置为仅在事情日与C2进行通信。此外，它还具有自我卸载功效，可以将自己从目标设备上删除。

https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/

宁静工具

catalyst

是一个 SOAR 系统，可自动化警报处置和事件响应流程。

https://catalyst-soar.com/

Auto-Elevate

窃取并模拟其进程 TOKEN，并使用被盗令牌生成一个新的 SYSTEM 级进程

https://github.com/FULLSHADE/Auto-Elevate

ICMP-TransferTools

是一组脚本，旨在在受限网络环境中将文件移入和移出 Windows 主机。

https://github.com/icyguider/ICMP-TransferTools

HTTP Smuggling Calculator

通过自动制作 HTTP 请求来执行 CL.TE 和 TE.CL HTTP 请求走私攻击。

https://github.com/kleiton0x00/HTTP-Smuggling-Calculator

宁静分析

FBI：2021 年因网络犯罪损失 69 亿美元

https://therecord.media/fbi-6-9-billion-lost-through-internet-crimes-in-2021/

美国起诉俄罗斯Igor Dekhtyarchuk运营暗网论坛

https://www.bleepingcomputer.com/news/security/fbi-adds-russian-cybercrime-market-owner-to-most-wanted-list/

俄罗斯禁用谷歌新闻

https://www.bleepingcomputer.com/news/technology/russia-bans-google-news-for-unreliable-info-on-war-in-ukraine/

Microsoft PowerToys 中断 Outlook PDF 预览

https://www.bleepingcomputer.com/news/microsoft/microsoft-powertoys-breaks-outlook-pdf-preview/

微软修复了导致 Windows 蓝屏的蓝牙问题

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bluetooth-issue-causing-windows-blue-screens/

Anonymous 提倡大规模的“印刷攻击”

https://www.hackread.com/anonymous-hacks-unsecured-printers-message-russia/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号