首页 > 安全研究 > 安全通报 > 安全简讯

研究团队公开NSA Equation Group的后门Bvp47的细节

发布时间 2022-02-28

研究团队公开NSA Equation Group的后门Bvp47的细节


据媒体2月23日报道,研究团队公开了Linux后门Bvp47的技术细节。该后门于2013年底首次被检测到,与NSA Equation Group有关联,因多次使用字符串“Bvp”和加密算法中的数值“0x47”而被称为“Bvp47”。据悉,Bvp47已被用于攻击中国、韩国、日本、德国、西班牙、印度和墨西哥等45个国家的学术、经济、军事、科学和电信等行业的287个目标。此外,它还具有复杂的代码、分段加解密、Linux多版本平台适配、丰富的rootkit反跟踪技术,并集成了高级BPF引擎以及繁琐的通信加解密过程。


https://securityaffairs.co/wordpress/128322/apt/equation-group-bvp47-backdoor.html


ESET发现新的HermeticWiper针对乌克兰的攻击活动


媒体2月23日称,安全公司ESET发现了针对乌克兰的新数据擦除恶意软件HermeticWiper(又名KillDisk.NCV)。该样本编译于2021年12月28日,随着俄罗斯的军事行动攻击了乌克兰大量IT基础设施。HermeticWiper是使用颁发给Hermetica Digital Ltd的证书进行签名的,利用软件EaseUS Partition Master中的合法驱动程序来破坏数据,然后重新启动计算机。


https://thehackernews.com/2022/02/new-wiper-malware-targeting-ukraine.html


英美当局称Cyclops Blink与APT组织Sandworm有关


2月22日,美英机构NCSC、FBI、CISA和NSA联合发布了一份安全咨询,称新恶意软件Cyclops Blink与俄罗斯Sandworm有关。该APT组织自2000年以来一直活跃,主要由俄罗斯GRU特殊技术中心(GTsST)的74455部队运营。咨询表示,Cyclops Blink似乎是2018年发现的VPNFilter的替代品,安装在允许Sandworm远程访问的网络中,并通过固件更新在目标设备中保持持久性。


https://www.bleepingcomputer.com/news/security/us-uk-link-new-cyclops-blink-malware-to-russian-state-hackers/


研究人员称至少有1亿部三星手机的密码设计存在缺陷


据2月23日报道,特拉维夫大学的研究人员发现了三星手机的密码设计存在缺陷。该缺陷存在于从Galaxy S8到Galaxy S21的各种型号中,据估计影响了1亿部智能手机。该问题主要涉及到使用ARM的TrustZone技术的设备,不仅可以用来窃取存储在设备上的加密密钥,还可以用来绕过FIDO2等安全标准。研究人员预计会在8月举行的2022年USENIX安全研讨会上详细介绍这些漏洞。


https://threatpost.com/samsung-shattered-encryption-on-100m-phones/178606/


Dragos发布2021年ICS网络安全态势的回顾报告


工业安全公司在2月23日发布了2021年ICS网络安全态势的回顾报告。该公司主要监测了工业领域的威胁活动,发现勒索团伙最常见的目标是制造业(共有211次攻击,占比65%),其次是食品和饮料行业(35次)和交通运输行业(27次)。此外,勒索团伙LockBit和Conti是去年工业领域的头号威胁。报告还揭示了一个令人不安的现象,许多组织的基础架构的可见性不足 ,未能正确分割网络边界,许多外部连接的设备,以及IT和OT环境之间有大量共享凭证。


https://www.dragos.com/year-in-review/


Mandiant称Cuba利用Exchange漏洞瞄准美国和加拿大


Mandiant在2月23日的一份报告中称Cuba正在瞄准美国和加拿大。该团伙追踪为UNC2596,其使用的勒索软件是COLDDRAW(通常被称为Cuba)。Mandiant确定此次攻击利用了Microsoft Exchange中的漏洞,包括ProxyShell和ProxyLogon,植入的后门包括Cobalt Strike或NetSupport Manager,以及他们自己的Bughatch、Wedgecut、eck.exe和Burntcigar。约80%的目标组织位于北美,其次是加拿大。


https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-cuba-ransomware/


安全工具


Cloudsploit


云安全扫描工具。


https://github.com/aquasecurity/cloudsploit


Dive


用于探索 Docker 映像、图层内容和发现缩小 Docker/OCI 映像大小的方法的工具。


https://github.com/wagoodman/dive


TerraGoat


是 Bridgecrew 的“设计漏洞”Terraform 存储库。


https://github.com/bridgecrewio/terragoat


vortex


VPN 整体侦察、测试、枚举和利用工具包。


https://github.com/klezVirus/vortex


EDRSandblast


用 C 语言编写的工具,可将签名驱动程序武器化以绕过EDR 检测和 LSASS 保护。


https://github.com/wavestone-cdt/EDRSandblast


安全分析


使用简历和版权相关电子邮件分发 LockBit 勒索软件


https://asec.ahnlab.com/en/32054/


谷歌正在淘汰 Android 的 Chrome Lite 模式


https://news.softpedia.com/news/google-is-retiring-the-chrome-lite-mode-for-android-534933.shtml


Microsoft Defender for Cloud 可以保护 Google Cloud 


https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-for-cloud-can-now-protect-google-cloud-resources/


NCSC 为建筑业发布首个网络安全指南


https://www.infosecurity-magazine.com/news/ncsc-guidance-construction/


勒索软件 Entropy 与恶意软件 Dridex 有关


https://thehackernews.com/2022/02/dridex-malware-deploying-entropy.html


FTC:2021 年美国因欺诈损失超过 58 亿美元


https://www.bleepingcomputer.com/news/security/ftc-americans-report-losing-over-58-billion-to-fraud-in-2021/

上一篇 下一篇