Kaspersky发现UEFI固件rootkit CosmicStrand

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Kaspersky发现UEFI固件rootkit CosmicStrand

宣布时间 2022-07-27

1、Kaspersky发现UEFI固件rootkit CosmicStrand

Kaspersky在7月25日披露了统一可扩展固件接口(UEFI)rootkit CosmicStrand的技术细节。研究人员体现，该rootkit位于技嘉或华硕主板的固件映像中，这是2013年至2015年之间的旧硬件，现在大部门已停产。这些映像都与使用H81芯片组的设计有关，这表明其中可能存在一个常见漏洞，可被攻击者用来将rootkit注入固件的映像中。目前，熏染的初始访问媒介仍然未知。

https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

2、攻击者利用PrestaShop平台中漏洞入侵在线商店

据7月25日报道，攻击者利用开源电子商务平台PrestaShop中的漏洞（CVE-2022-36408）攻击在线商店。PrestaShop是欧洲和拉丁美洲领先的开源电子商务解决方案，被全球近300000家在线商家使用。该漏洞影响了PrestaShop 1.6.0.10或更高版本，以及1.7.8.2或更高版本中运行了易被SQL注入攻击的�？椋ㄈ鏦ishlist 2.0.0至2.1.0�？椋�。利用该漏洞，攻击者可以执行任意代码并窃取客户的支付信息，该漏洞已在1.7.8.7版本中修复。

https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html

3、研究人员透露QBot利用Windows计算器熏染目标设备

7月24日报道，ProxyLife发现至少从7月11日起，Qbot就一直在滥用Windows 7 Calculator应用进行DLL侧加载攻击�；疃褂玫亩褚庥始杏幸桓鯤TML附件，会下载包罗ISO文件的ZIP。ISO中有一个.LNK 文件、“calc.exe”（Windows计算器）副本和两个DLL文件，即WindowsCodecs.dll和名为7533.dll的payload。.LNK快捷方式指向Windows中的计算器应用，加载后Windows 7计算器会自动搜索并加载合法WindowsCodecs DLL文件。但它不会检查某些硬编码路径中的DLL，如果将其与Calc.exe放在同一文件夹中，它将加载具有相同名称的所有DLL。

https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/

4、印度保险公司Policybazaar称其系统被未授权访问

媒体7月19日称，印度保险公司Policybazaar遭到了未经授权的访问。该公司的母公司PB Fintech在上周日宣布通告，称它在7月19日发现了利用其系统中漏洞的非法的未经授权的访问。该公司体现，目前已修复漏洞，并已启动对系统的审计，审查发现没有任何重要的客户数据泄露。泄露通知尚未提及哪些数据已被泄露或有几多客户受到影响。此外，PB Fintech的股价从上周五的522卢比下跌至周一的499.70卢比。

https://www.infosecurity-magazine.com/news/indian-insurance-policybazaar/

5、黑客在暗网果然Rust开发的的某窃取法式的源代码

媒体7月25日称，黑客在暗网果然了用Rust开发的的某信息窃取恶意软件的源代码。该恶意软件开发者声称只用了六个小时就开发出来了，它非常隐蔽，VirusTotal返回的检测率约为22%。Cyble将其命名为Luca Stealer，执行时它会从30个基于Chromium的浏览器中窃取数据，主要针对密码管理器浏览器插件。Cyble陈诉已经检测到至少25个在野利用的Luca Stealer样本，尚不清楚这种新的恶意软件是否会被大规模部署。虽然该恶意软件由跨平台语言Rust编写，但目前其只针对Windows系统。

https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/

6、微软宣布利用恶意IIS扩展的攻击活动的分析陈诉

7月26，微软宣布了关于利用Internet信息服务(IIS)扩展的攻击活动的分析。陈诉指出，攻击者越来越多地使用恶意IIS Web服务器扩展作为服务器的隐蔽后门，因为与Web shell相比，它的检测率较低。通常，攻击者首先会利用托管应用中的一个漏洞开始初始访问，然后安装一个脚本Webshell作为第一阶段payload。之后，攻击者会安装一个IIS后门，以对服务器进行隐蔽和持久的访问。安装后，恶意IIS�？榛岽幽勘晗低车哪诖嬷星匀∑揪�，收集信息，并安装更多payload。微软预计未来会有更多此类攻击。

https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究