Zyxel修复NAS中的RCE漏洞CVE-2022-34747

发布时间 2022-09-08
1、Zyxel发布更新修复NAS中的RCE漏洞CVE-2022-34747

      

9月6日,网络设备制造商Zyxel称一个新的RCE漏洞会影响其产品NAS326、NAS540和NAS542。通告指出,这是在Zyxel NAS产品的特定二进制文件中发现的一个格式字符串漏洞,可被用来通过特制的UDP数据包实现未经授权的远程代码执行。该漏洞追踪为CVE-2022-34747,CVSS评分为9.8。该漏洞可用于窃取数据、删除数据或在暴露于互联网上的NAS设备中安装勒索软件,供应商已经以固件更新的形式发布了受影响设备的安全更新。


https://www.bleepingcomputer.com/news/security/zyxel-releases-new-nas-firmware-to-fix-critical-rce-vulnerability/


2、North Face遭到大规模的撞库攻击影响约20万个账户

      

据媒体9月7日称,户外服装品牌The North Face遭到了大规模撞库攻击,导致thenorthface.com网站上的194905个账户被黑。此次攻击活动开始于2022年7月26日,但网站的管理员在8月11日才检测到异常活动,并于8月19日阻止了攻击。目前,该公司正在向受影响的客户发送数据泄露通知,并重置了所有用户密码。值得注意的是,这是The North Face第二次遭到撞库攻击后重置密码,上一次发生在2020年11月。


https://www.bleepingcomputer.com/news/security/200-000-north-face-accounts-hacked-in-credential-stuffing-attack/


3、AT&T披露通过多阶段感染链分发绕过检测的Shikitega

      

AT&T Alien Labs于9月6日披露了新的Linux恶意软件Shikitega。该恶意软件利用系统漏洞获取最高权限,通过crontab在主机上保持持久性,并最终在目标设备上执行加密矿工。Shikitega非常隐蔽,利用多态编码器绕过杀毒引擎的检测,这使得静态、基于签名的检测失效。目前尚不清楚初步感染方法,但研究人员表示,该恶意软件使用多阶段感染链,其中每一层仅传递几百字节,激活一个简单模块,然后移动到下一个模块。


https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux


4、ESET近期发现主要针对亚洲政府机构和大型公司的Worok

      

9月6日,ESET研究人员称其最近发现了主要针对亚洲的大型公司和地方政府的针对性攻击活动。这些攻击与一个新的间谍组织Worok有关,该团伙至少自2020年以来一直处于活动状态。Worok的工具集包括一个C++加载程序CLRLoad、一个PowerShell后门PowHeartBeat和一个C#加载程序PNGLoad,它使用隐写术从PNG文件中提取隐藏的恶意payload。此外,Worok与被追踪为TA428的团伙在工具、活动时间和目标行业方面存在重叠。


https://www.welivesecurity.com/2022/09/06/worok-big-picture/


5、TA505团伙使用TeslaGun面板来管理其ServHelper后门

      

PRODAFT在9月6日发布了关于TA505团伙TeslaGun的深度分析报告。TA505又名Evil Corp,自2014年以来一直活跃,主要针对零售行业和银行等。报告指出,攻击者使用TeslaGun控制面板来管理ServHelper植入程序,作为C2框架来控制被感染的设备。除了使用面板外,攻击者还使用远程桌面协议工具通过RDP隧道手动连接到目标系统。PRODAFT的分析显示,自2020年7月以来,该团伙已攻击了至少8160个目标,其中大多数目标位于美国(3667个)。


https://www.prodaft.com/resource/detail/ta505-ta505-groups-tesla-gun-depth-analysis


6、Check Point发布针对非洲大型金融机构的攻击的报告

      

9月6日,Check Point Research揭示了针对非洲的攻击活动DangerousSavanna。该活动在过去的两年中一直针对非洲法语区的多个主要的金融服务公司。攻击者使用鱼叉式钓鱼攻击作为初始感染方法,向科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥的员工发送恶意邮件。这些邮件的附件要么是带有宏的Word文档,要么是带有远程模板的文档,或者是诱使目标下载并手动执行下一阶段的PDF文档。所有文档,无论是MS Office还是PDF,都是用法语写的,并且使用类似的元数据。


https://blog.checkpoint.com/2022/09/06/in-the-mighty-savana-check-point-research-reveals-a-2-year-campaign-targeting-large-financial-institutions-in-french-speaking-african-countries/