每日头条
1. 研究人员展示了绕过CPU中Spectre硬件防御漏洞的新方法
据媒体 3 月 8 日报道,VUSec 研究人员展示了一种新方法 BHI(或 Spectre-BHB)来绕过针对 CPU 漏洞的 Spectre 硬件防御措施。 低权限的攻击者可以利用此漏洞来毒害目标的历史记录,并欺骗内核跳转到注入代码的位置并在那里执行找到的代码。 研究人员还发布了一个 PoC如何绕过防统方软件,演示如何窃取目标系统的 root 密码。 3月9日,Intel、AMD、Arm三大CPU厂商均发布了有关该漏洞的安全公告,以及缓解措施和安全建议。
2、俄罗斯多个官方网站遭到供应链攻击,导致访问中断。
据3月9日报道,由于供应链遭到攻击,俄罗斯多个政府机构的网站访问中断。 该国当局表示,袭击事件发生在周二(3月8日),受影响的机构包括能源部、国家统计局、国家监狱管理局、国家司法警察局、国家反垄断局和商务部。文化。 据悉,攻击者首先攻陷了用于跟踪多个政府机构网站访问者数量的统计组件,然后入侵了这些网站。 俄罗斯数字发展部声称,这些网站在袭击发生后一小时内就已恢复。
3. Lumen声称Emotet的新活动已感染超过10万台设备
Lumen于3月8日发布报告称,僵尸网络Emotet在短暂沉寂10个月后强势卷土重来。 自2021年11月以来,该活动已使用TrickBot感染了179个国家和地区的约13万台设备,但尚未达到之前的规模(超过160万台设备)。 Emotet 的新变体使用椭圆曲线加密 (ECC) 代替原来的 RSA 加密方案,并增加了从正在运行的进程列表之外的目标收集系统信息的功能。 据悉,Emotet包含近200个C2服务器,其中大部分位于美国、德国、法国等地,主要针对亚洲地区的目标。
4. Abnormal发现近期传播BazarBackdoor的网络钓鱼活动
3 月 9 日,Abnormal Security 发布了一份关于传播 BazarBackdoor 的网络钓鱼活动的报告。 BazarBackdoor是TrickBot开发的后门,目前由Conti控制。 该活动于 2021 年 12 月开始,旨在安装 Cobalt Strike 或勒索软件。 攻击者使用公司联系表格而不是常见的网络钓鱼电子邮件。 在一次攻击中,攻击者冒充加拿大一家建筑公司的员工,提交产品供应报价请求。 目标做出回应后,他们收到了伪装成谈判文件的恶意ISO文件。 此外,攻击者还使用 TransferNow 和 WeTransfer 等文件共享服务来防止触发安全警报。
5、Proofpoint披露TA416针对欧洲多个外交机构的攻击细节
Proofpoint 于 3 月 7 日披露了 APT 组织 TA416(又名 Mustang Panda)攻击欧洲多个外交机构的细节。 TA416 自 2020 年 8 月以来一直针对欧洲外交机构。今年 1 月 17 日,Proofpoint 发现该团伙正在使用一种新的分发方法。 此时,攻击策略也发生了变化,利用droppers分发四个组件:恶意软件PlugX、加载器、DLL搜索命令劫持器(进程加载器)和PDF诱饵文件。 研究人员 2 月 28 日发现,袭击者的目标是北约国家难民和移民部门的高级官员。
6、赛门铁克发布恶意软件“大信”技术分析报告
3月9日,赛门铁克发布了针对恶意软件Daxin的通信和网络功能的技术分析报告。 报告指出,大信在密钥交换过程中支持两种计算共享密钥的方法,发起者通过比较选择更合适的一种,以免在升级恶意网络时造成干扰。 此外,除了2个后门之间的通信外,恶意软件还支持2种额外的适合跨目标组织边界进行通信的通信方式:一种是使用HTTP消息封装后门通信如何绕过防统方软件,另一种是恶意的后门通信。驱动程序配置为与远程 TCP 服务器进行后门通信。
安全工具
硕士_图书馆员
一个简单的工具,用于审计 Unix/*BSD/Linux 系统库以查找公共安全漏洞。
地理无线网络
通过BSSID和SSID在不同的公共数据库上搜索WiFi地理定位数据。
瓦斯鲁
这是 Windows 10 Linux 子系统的实用程序集合。
系统耳语3
通过生成可用于直接系统调用的头文件/ASM 文件来帮助绕过。
青蛙
一个子域枚举脚本,旨在创建开源攻击面管理解决方案。
安全分析
REvil 成员被引渡到美国,因卡塞亚袭击事件接受审判
俄罗斯创建自己的 TLS 证书颁发机构以绕过制裁
CISA为涉及Conti恶意活动的域名添加了近100个IoC
微软宣布推出适用于 PC 和移动设备的 Defender 预览版
近 30% 的严重 WordPress 插件漏洞没有补丁
西门子解决了影响第三方组件的 90 多个漏洞
