Stacked VLAN中的4个可导致DoS和MiTM攻击的漏洞

发布时间 2022-09-30
1、Stacked VLAN中的4个可导致DoS和MiTM攻击的漏洞

      

据媒体9月28日报道,Stacked VLAN以太网功能中的4个漏洞可被用来通过定制的数据包对目标执行拒绝服务(DoS)或中间人(MitM)攻击。Stacked VLAN是现代路由器和交换机中的一项功能,允许公司将多个VLAN ID封装到与上游提供商共享的单个VLAN连接中。这些漏洞存在于允许VLAN标头堆叠的以太网封装协议中,分别为CVE-2021-27853、CVE-2021-27854、CVE-2021-27861和CVE-2021-2786,未经身份验证的相邻攻击者可以使用VLAN和LLC/SNAP标头的组合来绕过L2网络过滤保护,例如IPv6 RA防护、动态ARP检查和DHCP侦听等。


https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/


2、攻击者利用Quantum Builder来分发Agent Tesla

      

Zscaler在9月27日披露了攻击者利用Quantum Builder分发远程访问木马Agent Tesla的活动。Quantum Builder是一种可定制的工具,在暗网以每月189欧元的价格出售,可用于生成恶意快捷方式文件以及HTA、ISO和PowerShell payload。攻击使用的钓鱼邮件声称是来自中国块糖和冰糖供应商的订单确认信息,其中的LNK文件伪装成PDF文档。执行LNK后,嵌入式PowerShell代码会生成MSHTA,然后执行托管在远程服务器上的HTA文件,最终下载并执行Agent Tesla二进制文件。


https://www.zscaler.com/blogs/security-research/agent-tesla-rat-delivered-quantum-builder-new-ttps


3、Securonix发现主要针对军事承包商的新一轮攻击活动

      

据9月28日报道,Securonix的研究人员发现了主要针对参与武器制造的多家军事承包商的新活动,其中可能包括F-35 Lightning II战斗机零件供应商。该活动始于2022年夏末,利用了鱼叉式网络钓鱼作为初始感染媒介。邮件中包含一个快捷文件在执行时会连接到C2,并启动一连串的PowerShell脚本。有趣的是,这个快捷文件没有使用常用的cmd.exe或powershell.exe,而是依赖于C:\Windows\System32\ForFiles.exe命令来执行。此外,该活动的C2基础设施的域于2022年7月注册并托管在DigitalOcean上。


https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/


4、Witchetty利用隐写术将后门隐藏在Windows图标中

      

Symantec于9月29日称其发现了Witchetty利用隐写术将后门恶意软件隐藏在Windows图标中。研究人员透露他们正在调查一起新的间谍活动,该活动开始于2022年2月,针对中东的两个政府机构和非洲的一家证券交易所,目前仍在进行中。攻击者首先利用ProxyShell和ProxyLogon漏洞,在目标服务器上下载webshell,然后获取隐藏在图像文件中的后门。虽然该团伙仍在使用LookBack后门,但似乎已添加了几个新的恶意软件,如Backdoor.Stegmap,它利用隐写术从位图图像中提取其payload。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage


5、Kaspersky发布关于Prilex的攻击活动的分析报告

      

9月28日,Kaspersky发布了关于巴西黑客团伙Prilex的攻击的分析报告。该团伙自2014年开始活跃,在2016年决定放弃ATM恶意软件,将所有攻击集中在PoS系统上。Prilex的最新版本在攻击方式上与之前版本存在某些差异,即该团伙已从重放攻击转变为使用GHOST交易,该技术在店内支付过程中使用目标卡生成的密码非法兑现资金。Prilex对信用卡和借记卡交易以及用于支付处理的软件的工作原理非常熟练,因此可以不断更新工具,并找到绕过授权策略的方法,从而执行攻击。


https://securelist.com/prilex-atm-pos-malware-evolution/107551/


6、Lumen发布基于Go的恶意软件Chaos的技术分析报告

      

9月28日,Lumen发布了基于Go的恶意软件Chaos的技术分析报告。近几个月来,Chaos的数量迅速增长,旨在将各种Windows和Linux设备、SOHO路由器和企业服务器等诱入僵尸网络。Chaos的功能包括枚举主机环境、运行远程shell命令、加载附加模块、通过窃取和暴力破解SSH私钥自动传播以及执行DDoS攻击。Chaos似乎正在使用另一个僵尸网络Kaiji的构建块和功能,研究人员根据对100多个样本中的功能分析,推测Chaos是Kaiji的下一次迭代。


https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/