热门病毒通告
威尼斯432888cam热门病毒综述 -
Backdoor.MSIL.REMCOS.AOJ
该后门通过带有恶意附件的垃圾邮件传播,其通过添加注册表启动项目达到自启动目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Load = "%User Profile%\OEM\systeminfo.exe"
该后门链接到以下网站发送和接收远程恶意用户命令:
rennelautos.{BLOCKED}w.com:2404
rennelautos.{BLOCKED}o.org:2404
kellyben.{BLOCKED}o.org:2404
jkharding2014.{BLOCKED}s.net:2404
sunwap878.{BLOCKED}s.net:2404
sunwap878.{BLOCKED}u.net:2404
jessen.{BLOCKED}o.org:2404
jessen.{BLOCKED}s.rocks:2404
该后门收集下列信息:
计算机名
操作系统版本
产品名
主适配器
用户访问(管理员或非管理员)
用户资料
用户名
用户域
处理器版本号
处理器级别
处理器标识符
处理器架构
系统类型(32位或64位)
对该病毒的防护可以从下述链接中获取最新版本的病毒码:17.635.60
https://console.zbox.filez.com/l/2n6wBS
警惕!Spring Data MongoDB SpEL表达式注入漏洞风险通告
近日,威尼斯432888camCERT监控到Spring Data MongoDB存在表达式注入漏洞(CVE-2022-22980),该漏洞源于Spring Data MongoDB应用程序在使用带有SpEL表达式的@Query或@Aggregation-annotated查询方法时容易受到SpEL注入的影响,如果输入未过滤,则该表达式包含用于值绑定的查询参数占位符。攻击者利用该漏洞可在目标服务器上执行代码。
目前厂商已发布安全版本,鉴于该漏洞受影响面广大,威尼斯432888camCERT建议使用Spring Data MongoDB的用户尽快采取相关措施。
【警惕!Spring Data MongoDB SpEL表达式注入漏洞风险通告】
警方通报西北工业大学遭境外网络攻击:已立案侦查
据陕西省西安市公安局碑林分局官方微博消息,针对西北工业大学电子邮件系统遭受境外网络攻击,西安市公安局23日发布警情通报称,已根据中华人民共和国刑法第285条之规定,对此案进行立案侦查,并对提取到的木马和钓鱼邮件样本进一步开展技术分析。初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为。
西北工业大学信息化建设与管理处报警称:该校电子邮件系统发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险,同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。
立陶宛对俄罗斯“禁运”后遭网络攻击
近日,有消息显示,自从立陶宛对俄飞地加里宁格勒州实施“禁运令”后,新兴黑客组织“网络特种部队”(Cyber Spetsnaz)或已将矛头对准了立陶宛的政府资源和关键基础设施。
此前,立陶宛政府宣布拒绝通过其境内铁路向俄飞地加里宁格勒州运输钢铁和铁矿,此举导致了俄-立冲突的升级。据BBC和其他新闻机构报道,俄罗斯已经对立陶宛封锁铁路交通的行为发出了严厉警告,并声称将让立陶宛“感到痛苦”,但尚未具体说明将采取何种报复手段。
工控安全遭严峻挑战,56个严重漏洞席卷OT设备
据The Hacker News消息,安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”,这些漏洞也被安全研究人员称之为“不安全的设计实践”。
报告指出,利用这些漏洞,具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击,更改OT设备的逻辑、文件或固件,绕过身份验证,破坏凭据,导致拒绝服务或产生各种运营影响。
欧洲警方捣毁造成数百万美元损失的网络钓鱼团伙
在欧洲刑警组织协调的执法行动后,造成数百万欧元损失的网络钓鱼团伙成员被逮捕。本周二,欧洲刑警组织对外宣布:“在欧洲刑警的支持下,比利时警察(联邦警察)和荷兰警察(警察)参与了一次跨境行动,粉碎了一个涉及网络钓鱼、诈骗、诈骗和洗钱的有组织犯罪集团。”
新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域
据相关网站披露,安全专家发现了一种名为DFSCoerce的新型Windows NTLM中继攻击,它允许攻击者控制Windows域。
DFSCoerce攻击依赖分布式文件系统(DFS):命名空间管理协议(MS-DFSNM)来完全控制Windows域。分布式文件系统(DFS):命名空间管理协议为管理DFS配置提供了RPC接口。
为了缓解该攻击,研究人员建议应遵循微软关于缓解PetitPotam NTLM中继攻击的建议,例如禁用域控制器上的NTLM并启用身份验证扩展保护(EPA)和签名功能,以及关闭AD CS服务器上的HTTP。