TAC-040利用Confluence漏洞安装Ljl Backdoor

首页 > 宁静研究 > 宁静通报 > 宁静简讯

TAC-040利用Confluence漏洞安装Ljl Backdoor

宣布时间 2022-08-09

1、TAC-040利用Confluence中漏洞安装Ljl Backdoor

据媒体8月4日报道，Deepwatch发现TAC-040团伙利用Atlassian Confluence中漏洞的攻击活动。此次攻击发生在5月，并连续了7天，通过对网络日志的分析表明TAC-040已在目标系统中窃取了约700MB数据。疑似被利用的漏洞是工具图导航语言(OGNL)注入漏洞（CVE-2022-26134），已在2022年6月4日被修复。此外，该活动分发了新后门Ljl Backdoor，它可以收集文件和用户帐户、加载任意.NET payload并收集系统信息及目标地理位置。

https://thehackernews.com/2022/08/hackers-exploited-atlassian-confluence.html

2、微软称其最新版本某些Windows系统存在数据损坏问题

微软公司在8月8日透露，支持最新矢量高级加密尺度(AES)(VAES)指令集的Windows设备可能容易受到数据损坏的影响。使用最新处置器的Windows设备在Windows 11和Windows Server 2022存在问题，受此问题影响的设备在新硬件上使用AES-XTS或AES-GCM分组密码模式。虽然该公司提到了受影响系统的会存在数据丢失风险，但并未详细说明会发生什么，该问题已在5月24日和6月14日宣布的预览版和宁静版中修复。但是，这些更新也会对性能造成影响，微软建议存在性能下降问题的用户安装6月23日的预览更新或7月12日的宁静更新。

https://www.bleepingcomputer.com/news/microsoft/windows-devices-with-newest-cpus-are-susceptible-to-data-damage/

3、Lazarus冒充Coinbase对金融科技行业进行钓鱼攻击

媒体8月7日称，朝鲜黑客团伙Lazarus冒充Coinbase对金融科技行业进行钓鱼攻击。在该活动中，攻击者假装来自Coinbase招聘产物宁静工程经理。诱饵是关于事情职位的PDF文件Coinbase_online_careers_2022_07.exe，这实际上是使用了PDF图标的恶意可执行文件，会在显示诱饵PDF的同时加载恶意DLL。一旦执行，恶意软件将使用GitHub作为C2来接收命令。美国情报部门曾提醒，Lazarus会流传木马化加密货币钱包和投资应用来窃取目标的资产。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/

4、Ahnlab发现主要针对韩国的新勒索软件GwisinLocker

Ahnlab在8月3日称其发现了一个新的勒索软件家族GwisinLocker，主要针对韩国的医疗保健、工业和制药行业。该恶意软件来源于Gwisin团伙，因为攻击恰逢韩国公众假期和凌晨，研究人员推断攻击者深知韩国文化和商业习惯。加密Windows系统时，熏染始于执行MSI安装文件，需要特殊的命令行参数来正确加载作为勒索软件加密器的嵌入式DLL；而Linux版本中，加密器着重于加密VMware ESXi虚拟机，使用了带有SHA256 hashing的AES对称密钥加密。

https://asec.ahnlab.com/en/37483/

5、攻击者用美国运通等合法域的开放重定向漏洞攻击M365用户

据8月8日报道，攻击者滥用合法域（Snapchat和美国运通）上的开放重定向漏洞来窃取Microsoft 365用户的凭据。攻击发生在今年5月中旬到7月下旬，攻击者利用受信任组织和网站的域作为临时登录页面，以简化钓鱼攻击。在这两个半月内，Inky检测到从Google Workspace和Microsoft 365发送的6812封钓鱼邮件中利用了Snapchat开放重定向漏洞，2029封钓鱼邮件利用了americanexpress[.]com重定向漏洞。

https://securityaffairs.co/wordpress/134131/cyber-crime/snapchat-amex-open-redirects-phishing.html

6、Cisco宣布关于C2aaS平台Dark Utilities的分析陈诉

8月4日，Cisco Talos宣布了关于C2即服务（C2aaS）平台Dark Utilities的分析陈诉。Dark Utilities于2022年初宣布，是一个为攻击者提供全功效C2的平台，可在目标系统上进行远程访问、命令执行、漫衍式拒绝服务(DDoS)攻击和加密货币挖掘。该平台目前支持基于Windows、Linux和Python的payload，并托管在星际文件系统(IPFS)中，可针对多种架构进行攻击而无需大量开发资源。研究人员称，自该恶意软件宣布以来，已在野检测到它被用来进行远程访问和挖矿的活动。

https://blog.talosintelligence.com/2022/08/dark-utilities.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究