每週高級威脅情報解讀(2023.04.27~05.04)

2023.04.27~05.04

攻擊團伙情報

  • APT-Q-27使用雙 DLL 側載來逃避檢測

  • 透明部落 APT 在針對教育機構的目標越來越多的情況下積極引誘印度軍隊

  • APT37部署 ROKRAT 感染鏈

  • 疑似俄羅斯駭客Sandworm使用 WinRAR 擦除烏克蘭國家機構的資料

  • APT28使用偽造的「Windows 更新」指南來攻擊烏克蘭政府

  • APT29近期利用CobaltStrike開展攻擊活動

  • 在針對 Veeam 備份伺服器的攻擊中發現 FIN7 tradecraft

  • 對 Charming Kitten APT組織使用的惡意軟體BellaCiao進行分析

攻擊行動或事件情報

  • 利用XLL檔案投遞Qbot銀行木馬的釣魚活動分析

  • Nomadic Octopus在塔吉克新的監視活動

  • HiddenAds 通過 Google Play 上的 Android 遊戲應用傳播

  • 駭客在 Telegram 上銷售新的 Atomic macOS (AMOS) 竊取器

  • 伊朗政府利用BouldSpy Android間諜軟體監視少數民族

惡意程式碼情報

  • BlackBit 勒索軟體:來自 LokiLocker 的威脅

  • 攻擊者生成macOS 惡意軟體變體:Atomic Stealer

  • PyPI 軟體包分發中發現新的 KEKW 惡意軟體變體

  • 揭露新的資訊竊取惡意軟體 NodeStealer

  • 勒索軟體分析與綜述 ——UNIZA

  • 研究人員發現惡意軟體LOBSHOT

  • RTM Locker勒索軟體瞄準Linux系統

漏洞情報

  • Windows HTTP.sys 許可權提升漏洞(CVE-2023-23410)通告

攻擊團伙情報

01

APT-Q-27使用雙 DLL 側載來逃避檢測

披露時間:2023年5月3日

情報來源:https://news.sophos.com/en-us/2023/05/03/doubled-dll-sideloading-dragon-breath/

相關資訊:

研究人員發現基於經典側載方案的惡意 DLL活動。此外,相關調查表明,威脅行為者非常喜歡這種對原始場景的改編,並採用了它的多種變體,反覆交換過程中的特定元件以逃避在這一步的檢測攻擊鏈。

早期的攻擊形式已經在業界有所報道,該攻擊基於經典的側載攻擊,包括一個乾淨的應用程序、一個惡意載入程序和一個加密的有效負載,隨著時間的推移對這些元件進行了各種修改。最新的活動增加了一個轉折點,其中第一階段的乾淨應用程序「側面」載入第二個乾淨的應用程序並自動執行它,第二個乾淨的應用程序側載惡意載入程序 DLL。之後,惡意載入程序 DLL 執行最終的有效負載。

02

02

透明部落 APT 在針對教育機構的目標越來越多的情況下積極引誘印度軍隊

披露時間:2023年5月2日

情報來源:https://www.seqrite.com/blog/transparent-tribe-apt-actively-lures-indian-army-amidst-increased-targeting-of-educational-institutions

相關資訊:

APT 透明部落 (APT36) 正在引誘印度軍隊打開主題為「修訂軍官發佈政策」的惡意檔案。研究人員一直在跟蹤這個持續存在的威脅組織,並遇到了針對印度的新攻擊活動。與此同時,還觀察到同一威脅行為者越來越多地將教育部門作為目標。這是自去年以來以 IIT 為目標的延續。

以下是此次研究的相關發現:APT36 以「軍官發佈政策修訂最終版」為主題,以惡意 PPAM 檔案為目標瞄準印度軍隊。其使用啟用宏的 PowerPoint 附加檔案 (PPAM) 用於通過將存檔檔案嵌入為 OLE 對象來包裝惡意負載。感染鏈導致執行基於 .NET 的 Crimson RAT 負載,該負載可以接收和執行 22 條命令以及永續性機制。APT36 使用的 C2 使用相同的通用名稱,通常可以在該威脅組織的 C2 基礎設施中找到。從現在針對 IIT 到 NIT 和商學院,研究人員觀察到 2023 年第一季度的目標有所增加,並在 2 月達到頂峰。

03

03

APT37部署 ROKRAT 感染鏈

披露時間:2023年5月1日

情報來源:https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/

相關資訊:

朝鮮長期以來一直攻擊其南部鄰國,尤其是通過今天仍在繼續的網路戰。在本文中,研究人員描述了一組觀察到部署 ROKRAT 的活動,ROKRAT 是一種以前歸因於朝鮮威脅行為者的工具,該威脅行為者稱為 APT37、Inky Squid、RedEyes、Reaper 或 ScarCruft。

前幾年,ROKRAT 感染鏈通常涉及帶有漏洞的惡意 Hangul Word Processor(HWP,韓國流行的文件格式)文件,或帶有宏的 Microsoft Word 文件。雖然一些 ROKRAT 樣本仍在使用這些技術,但現已經觀察到一種轉變,即使用偽裝成合法文件的 LNK 檔案交付 ROKRAT。這種轉變並非 ROKRAT 獨有,而是代表了一個更大的趨勢,該趨勢在 2022 年變得非常流行

在此次報告中,討論分析 APT37 在最近的攻擊中使用的各種感染鏈和誘餌,以及由此產生的 ROKRAT 和 Amadey 有效負載。最後,對ROKRAT進行技術分析。

04

04

疑似俄羅斯駭客Sandworm使用 WinRAR 擦除烏克蘭國家機構的資料

披露時間:2023年4月29日

情報來源:https://cert.gov.ua/article/4501891

相關資訊:

在一份新的通報中,研究人員表示,俄羅斯駭客使用未受多因素身份驗證保護的受損 VPN 帳戶訪問烏克蘭國家網路中的關鍵系統。一旦獲得網路訪問權,他們就會使用腳本來使用 WinRar 歸檔程序擦除 Windows 和 Linux 機器上的檔案。

在 Windows 上,Sandworm 使用的 BAT 腳本是「RoarBat」,它會在磁碟和特定目錄中搜尋檔案類型,例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat,並使用 WinRAR 程序將它們歸檔。

但是,當執行 WinRar 時,攻擊者會使用「-df」命令列選項,該選項會在檔案存檔時自動刪除它們。然後檔案本身被刪除,實際上刪除了設備上的資料。研究人員表示,該事件類似於 2023 年 1 月襲擊烏克蘭國家新聞機構「Ukrinform」的另一場破壞性攻擊,同樣歸因於 Sandworm。

05

APT28使用偽造的「Windows 更新」指南來攻擊烏克蘭政府

披露時間:2023年4月28日

情報來源:https://cert.gov.ua/article/4492467

相關資訊:

2023 年 4 月,研究人員記錄了在烏克蘭政府機構之間分發主題為「Windows 更新」的電子郵件的案例,顯然是代表部門的系統管理員發送的。同時,在公共服務「@outlook.com」上創建的發件人電子郵件地址可以使用員工的真實姓氏和姓名縮寫組成。

樣本信件包含烏克蘭語的「說明」,用於「更新以防止駭客攻擊」,以及啟動命令列和執行 PowerShell 命令的過程的圖形圖像。上述命令將下載一個 PowerShell 腳本,該腳本模擬更新作業系統的過程,將下載並執行另一個腳本,旨在使用「tasklist」、「systeminfo」命令收集有關計算機的基本資訊,併發送接收到的資訊使用 HTTP 請求到 Mocky 服務 API 的結果。

研究人員認為,俄羅斯國家資助的駭客組織 APT28(又名 Fancy Bear)發送了這些電子郵件並冒充了目標政府實體的系統管理員,以便更容易地欺騙他們的目標。

06

APT29近期利用CobaltStrike開展攻擊活動

披露時間:2023年4月25日

情報來源:https://www.viewintech.com/html/articledetails.html?newsId=35

相關資訊:

APT29又名Cozy Bear,是一個主要從事資訊竊取和間諜活動的APT組織。

2023年4月13日,波蘭軍事反情報局發佈了APT29攻擊武器HALFRIG、QUARTERRIG和SNOWYAMBER的分析報告,這三個攻擊武器都被用來載入CobaltStrike HTTPS Beacon。報告中C&C伺服器配置和2021年攻擊活動中的基本一致,CS配置檔案中的水印也是從2021年起沿用至今的「1359593325」。

研究人員通過披露的IoC關聯到了一個新Beacon檔案snappy.dll,該樣本連接的伺服器sonike.com仍然存活,通過TLS協議與Beacon進行通訊。除了公開披露的攻擊活動外,我們在現網中也發現了APT29使用CobaltStrike對中國進行攻擊的情況。

07

在針對 Veeam 備份伺服器的攻擊中發現 FIN7 tradecraft

披露時間:2023年4月26日

情報來源:https://labs.withsecure.com/publications/fin7-target-veeam-servers

相關資訊:

研究人員發現了 2023 年 3 月下旬發生的針對運行 Veeam Backup & Replication 軟體的面向網際網路的伺服器的攻擊。研究表明,這些攻擊中使用的入侵集與歸因於 FIN7 活動組的入侵集重疊。初始訪問和執行很可能是通過最近修補的 Veeam Backup & Replication 漏洞 CVE-2023-27532實現的。

FIN7 是一個以經濟為動機的網路犯罪集團,其根源可以追溯到 2010 年代中期。多年來,該組織參與了幾次備受矚目的大規模攻擊。該組織的交易技巧和作案手法在其多年的歷史中不斷發展,開發了新工具,擴大了業務範圍,並與其他威脅行為者建立了聯繫。

這篇博文提供了研究人員觀察到的入侵的分析,以及這些攻擊的時間線。

08

08

對 Charming Kitten APT組織使用的惡意軟體BellaCiao進行分析

披露時間:2023年4月26日

情報來源:https://www.bitdefender.com/blog/businessinsights/unpacking-bellaciao-a-closer-look-at-irans-latest-malware/

相關資訊:

最近有報道稱, Charming Kitten(又名薄荷沙塵暴)正在積極瞄準美國和其他國家的關鍵基礎設施,研究人員在此篇文章分享關於該APT組織的戰術,技術和程序現代化的最新見解,包括一種新的,以前從未見過的惡意軟體。該惡意軟體是為適應個別目標而量身定製的,並表現出更高的複雜性,其命令和控制 (C2) 基礎設施的獨特通訊方法證明了這一點。

惡意軟體的名稱是BellaCiao,指的是關於抵抗鬥爭的義大利民歌。研究人員已經在美國和歐洲以及中東(土耳其)或印度確定了多名受害者。

攻擊行動或事件情報

01

利用XLL檔案投遞Qbot銀行木馬的釣魚活動分析

披露時間:2023年4月26日

情報來源:https://mp.weixin.qq.com/s/6RbQ6YQihv5d0Qs1DbNz8g

相關資訊:

近期,研究人員發現了一起利用惡意Microsoft Excel載入項(XLL)檔案投遞Qbot銀行木馬的惡意活動。攻擊者通過發送垃圾郵件來誘導使用者打開附件中的XLL檔案,一旦使用者安裝並激活Microsoft Excel載入項,惡意程式碼將被執行。隨後,惡意程式碼會在使用者主機上進行層層解密,最終釋放出Qbot銀行木馬。

自2023年2月微軟宣佈默認阻止Office文件中的宏之後,攻擊者嘗試使用其他類型的檔案作為傳播惡意軟體的新型媒介。利用XLL檔案傳播惡意檔案的網路釣魚活動於2021年底開始增多,目前已有Dridex、Qbot、Formbook、AgentTesla等多個惡意程式碼家族利用XLL檔案進行傳播,受害者打開XLL檔案時,將啟動Excel,並將XLL檔案作為Excel載入項載入執行,繞過了Office宏文件的限制。

Qbot銀行木馬於2008年出現,自2020年4月開始進入活躍狀態,主要通過垃圾郵件進行傳播。2021年2月,研究人員發佈《Qbot銀行木馬2020年活動分析報告》。該銀行木馬在執行過程中多次解密,利用載入器載入執行惡意功能躲避反病毒軟體的靜態查殺,利用計劃任務實現自啟動,能夠在受害主機上獲取螢幕截圖、收集目標系統資訊和獲取瀏覽器Cookie資訊等。攻擊者還能夠利用從使用者處竊取的資料實施後續的攻擊活動。

02

02

Nomadic Octopus在塔吉克新的監視活動

披露時間:2023年4月28日

情報來源:https://www.prodaft.com/resource/detail/paperbug-nomadic-octopus-paperbug-campaign

相關資訊:

本報告探討了 “Nomadic Octopus”間諜組織的塔吉克行動的運作環境:Paperbug。根據受害者的分析,該組織的目標是高級政府官員、電信服務和公共服務基礎設施。被攻擊的機器類型包括從個人電腦到OT設備。這些目標使 “Paperbug “行動以情報為導向。環境本身是以基本功能構建的。這使得歸因具有挑戰性;它沒有留下什麼評論的空間。然而,在這種情況下,調查結果足以對這個群體進行剖析。

03

03

HiddenAds 通過 Google Play 上的 Android 遊戲應用傳播

披露時間:2023年4月26日

情報來源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/hiddenads-spread-via-android-gaming-apps-on-google-play/

相關資訊:

Minecraft 是一款流行的視訊遊戲,是一款由 Mojang Studios 開發的沙盒遊戲,可以在桌上型電腦或移動設備上玩。

Minecraft 的流行導致許多嘗試重新創建類似的遊戲。因此,在全球範圍內,與 Minecraft 具有相同概念的遊戲非常多。即使在 Google Play 上,也可以輕鬆搜尋到類似的遊戲。研究人員最近發現了 38 款帶有隱藏廣告的遊戲。這些在 Google Play 商店中發現並被全球至少 3500 萬使用者安裝的 HiddenAds 應用程序被發現會偷偷發送資料包以獲取大量廣告收入。

研究人員將此威脅檢測為 Android/HiddenAds.BJL,並向Google報告了發現的應用程序,Google立即採取行動,這些應用程序不再在 Google Play 上可用。Android 使用者受到Google Play Protect的保護,它可以警告使用者 Android 設備上已識別的惡意應用程序。

04

04

駭客在 Telegram 上銷售新的 Atomic macOS (AMOS) 竊取器

披露時間:2023年4月26日

情報來源:https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/

相關資訊:

研究人員最近發現一個 Telegram 頻道在宣傳一種名為Atomic macOS Stealer (AMOS)的新型資訊竊取惡意軟體。該惡意軟體專門針對 macOS 而設計,可以從受害者的機器上竊取敏感資訊。

這個竊取器背後的 TA 不斷改進這個惡意軟體並添加新功能以使其更有效。4 月 25 日的 Telegram 帖子突出顯示了該惡意軟體的更新,展示了其最新功能。Atomic macOS Stealer 可以從受害者的機器上竊取各種類型的資訊,包括鑰匙串密碼、完整的系統資訊、桌面和文件檔案夾中的檔案,甚至是 macOS 密碼。該竊取程序旨在針對多個瀏覽器,並可以提取自動填充、密碼、cookie、錢包和信用卡資訊。具體來說,AMOS 可以針對 Electrum、Binance、Exodus、Atomic 和 Coinomi 等加密錢包。TA 還提供額外的服務,例如用於管理受害者的 Web 面板、用於竊取種子和私鑰的元掩碼暴力破解、加密檢查器和 dmg 安裝程序,之後它通過 Telegram 共享日誌。這些服務的價格為每月 1000 美元。

05

伊朗政府利用BouldSpy Android間諜軟體監視少數民族

披露時間:2023年4月27日

情報來源:https://www.lookout.com/blog/iranian-spyware-bouldspy

相關資訊:

研究人員發現了一種新的 Android 監控工具,並且有信心將其歸功於伊朗伊斯蘭共和國執法司令部 (FARAJA)。研究人員為配置該工具的命令和控制 (C2) 的「BoulderApplication」類命名為 BouldSpy,自 2020 年 3 月以來一直在跟蹤該間諜軟體。從 2023 年開始,該惡意軟體引起了 Twitter 上安全研究人員的注意,並引起了威脅中的其他人的注意情報界將其描述為 Android 殭屍網路和勒索軟體。雖然 BouldSpy 包含勒索軟體程式碼,但經過評估發現它未被使用且無法正常運行,但可能表明攻擊者正在進行開發或企圖誤導。

根據對間諜軟體 C2 伺服器洩露資料的分析,BouldSpy 已使 300 多人受害,其中包括伊朗庫爾德人、俾路支人、亞塞拜然人等少數民族,可能還有亞美尼亞基督教團體。證據表明,間諜軟體可能還被用於打擊和監控與武器、毒品和酒精有關的非法販運活動。

惡意程式碼情報

01

BlackBit 勒索軟體:來自 LokiLocker 的威脅

披露時間:2023年5月3日

情報來源:https://blog.cyble.com/2023/05/03/blackbit-ransomware-a-threat-from-the-shadows-of-lokilocker/

相關資訊:

研究人員注意到勒索軟體的一種此類變體 BlackBit。2022 年 9 月,首次發現 BlackBit 勒索軟體。沒有任何洩漏站點活動意味著勒索軟體當前沒有從受害者系統中提取資料。因此懷疑它可能仍處於運營的早期階段。

AhnLab 最近發表了一篇文章,指出這種特定的勒索軟體正在韓國傳播。BlackBit Ransomware 是一種基於 RaaS 模型的 LokiLocker 勒索軟體變體。BlackBit 的源程式碼表明勒索軟體是 LokiLocker 的副本,並進行了一些外觀上的更改,例如圖示、名稱、配色方案等。

BlackBit 勒索軟體是一種複雜的變種,具有多種建立永續性、防禦規避和損害恢復的能力。此外,它結合了三種不同的方法來向受害者提供支付資訊。這些方法包括刪除贖金票據、在受害者嘗試打開加密檔案時顯示彈出窗口以及通過 mshta.exe 顯示 HTA 頁面。

02

攻擊者生成macOS 惡意軟體變體:Atomic Stealer

披露時間:2023年5月3日

情報來源:https://www.sentinelone.com/blog/atomic-stealer-threat-actor-spawns-second-variant-of-macos-malware-sold-on-telegram/

相關資訊:

最近幾周,犯罪軟體論壇上出現了許多特定於 macOS 的資訊竊取程序,包括Pureland、MacStealer和Amos Atomic Stealer。其中,Atomic Stealer 提供了迄今為止最完整的軟體包,向網路犯罪分子承諾即使不是特別複雜的資訊竊取程序也是功能齊全的。Atomic 可以獲取帳戶密碼、瀏覽器資料、會話 cookie和加密錢包,在 Telegram 上宣傳的版本中,威脅參與者可以通過從開發人員那裡以每月 1000 美元的價格租用的 Web 界面來管理他們的活動。

然而,威脅者一直在忙於尋找其他方法來使用不同版本的 Atomic Stealer 來攻擊 macOS 使用者。這篇文章將仔細研究 Atomic Stealer 的工作原理,並描述之前未報道的第二個變體。此外研究人員還提供了一個全面的指標列表,以幫助威脅獵手和安全團隊保護 macOS 端點。

03

03

PyPI 軟體包分發中發現新的 KEKW 惡意軟體變體

披露時間:2023年5月3日

情報來源:https://blog.cyble.com/2023/05/03/new-kekw-malware-variant-identified-in-pypi-package-distribution/

相關資訊:

PyPI(Python 包索引)是一個廣泛使用的 Python 程式語言軟體包儲存庫,全球開發人員使用它來共享和下載 Python 程式碼。由於 PyPI 的廣泛使用,它已成為旨在攻擊開發人員或其項目的威脅參與者 (TA) 的理想目標。惡意包通常通過偽裝成有用的軟體或通過更改名稱來模仿知名項目來上傳。

最近,研究人員發現了多個惡意 Python .whl (Wheel) 檔案,這些檔案被發現正在分發名為「KEKW」的新惡意軟體。KEKW 惡意軟體可以從受感染的系統中竊取敏感資訊,並執行可能導致劫持加密貨幣交易的限幅活動。

經過調查發現受審查的 Python 包不存在於 PyPI 儲存庫中,這表明 Python 安全團隊已經刪除了惡意包。此外,研究人員於 02-05-2023 與 Python 安全團隊進行了核實,並確認他們在惡意包上傳後的 48 小時內將其刪除。

由於惡意包被迅速刪除,因此無法確定下載它們的人數。

04

04

揭露新的資訊竊取惡意軟體 NodeStealer

披露時間:2023年5月3日

情報來源:https://engineering.fb.com/2023/05/03/security/malware-nodestealer-ducktail/

相關資訊:

研究人員在 Meta 上發現了一種名為「NodeStealer」的新型資訊竊取惡意軟體,它允許威脅行為者竊取瀏覽器 cookie 以劫持平臺上的帳戶,以及 Gmail 和 Outlook 帳戶。捕獲包含有效使用者會話令牌的 cookie 是一種在網路犯罪分子中越來越流行的策略,因為它允許他們劫持帳戶而無需竊取憑據或與目標互動,同時還可以繞過雙因素身份驗證保護。

正如研究人員在文章中所解釋的那樣,它在其分發活動的早期發現了 NodeStealer,即在首次部署後僅兩週。此後,該公司中斷了運營,並幫助受影響的使用者恢復了賬戶。

05

勒索軟體分析與綜述 ——UNIZA

披露時間:2023年4月27日

情報來源:https://www.fortinet.com/blog/threat-research/ransomware-roundup-uniza-coverage

相關資訊:

研究人員 最近發現了一種名為 UNIZA 的新勒索軟體變種。與其他勒索軟體變體一樣,它會加密受害者機器上的檔案以試圖勒索錢財。它使用命令提示符 (cmd.exe) 窗口顯示其勒索訊息,有趣的是,它不會附加其加密檔案的檔案名,這使得確定哪些檔案受到影響變得更加困難。

目前尚無關於 UNIZA 勒索軟體威脅參與者使用的感染媒介的資訊,但是,可能的攻擊媒介是通過電子郵件,因為許多勒索軟體變體都是通過這種方式分發的。在進行這項研究時,沒有跡象表明 UNIZA 勒索軟體在廣泛傳播。

06

研究人員發現惡意軟體LOBSHOT

披露時間:2023年4月25日

情報來源:https://www.elastic.co/cn/security-labs/elastic-security-labs-discovers-lobshot-malware

相關資訊:

研究人員注意到今年早些時候惡意廣告的採用率大幅上升。攻擊者通過 Google Ads 使用精心設計的虛假網站方案推廣他們的惡意軟體,並在使用者看來是合法安裝程序的程序中嵌入後門程序。在這篇文章中,將重點介紹稱之為 LOBSHOT 的惡意軟體系列。

LOBSHOT 的核心功能之一是其 hVNC(隱藏虛擬網路計算)元件。這些類型的模組允許對機器進行直接和不可見的訪問。此功能在繞過欺詐檢測系統方面繼續取得成功,並且經常作為外掛融入許多流行的系列中。

在整個分析過程中,研究人員觀察到已知屬於TA505 的基礎設施。TA505 是一個著名的網路犯罪組織,與 Dridex、Locky 和 Necurs 活動有關。Proofpoint 記錄的一個載入程序,稱為Get2,過去也與我們在 LOBSHOT 中觀察到的相同域相關聯。LOBSHOT 很有可能是 TA505 從 2022 年開始利用的一種新的惡意軟體功能。

07

07

RTM Locker勒索軟體瞄準Linux系統

披露時間:2023年4月26日

情報來源:https://www.uptycs.com/blog/rtm-locker-ransomware-as-a-service-raas-linux

相關資訊:

研究人員近日在暗網中發現了一款新的針對Linux系統的勒索軟體:RTM Locker,該勒索軟體歸屬於一家知名的勒索軟體即服務(RaaS)提供商「Read The Manual」(RTM)。RTM網路犯罪組織至少從2015年開始活躍,並以專門避開關鍵基礎設施、執法部門和醫院等引人注目的目標而聞名。這是該組織首次創建Linux類型的二進位制檔案。其中,RTM Locker勒索軟體主要針對ESXi主機,包含兩個ESXi命令,並且似乎基於Babuk勒索軟體洩露的源程式碼。

Babuk勒索軟體與RTM Locker勒索軟體的顯著相似之處在於:1)隨機數生成方式;2)均會在Curve25519中使用ECDH進行非對稱加密。不同之處則在於:Babuk使用sosemanuk演算法進行非對稱加密,而RTM Locker則使用ChaCha20演算法進行對稱加密。目前,研究人員表示RTM Locker勒索軟體的初始攻擊向量仍然未知,但其採用的非對稱和對稱加密結合演算法使得受害者在沒有攻擊者的私鑰情況下無法解密檔案。

漏洞情報

01

Windows HTTP.sys 許可權提升漏洞(CVE-2023-23410)通告

披露時間:2023年4月25日

情報來源:https://www.bitsight.com/blog/new-high-severity-vulnerability-cve-2023-29552-discovered-service-location-protocol-slp

相關資訊:

Microsoft Windows HTTP 協議棧(HTTP.sys)是一個位於Windows作業系統中核心元件,常見於應用之間或設備之間通訊,以及Internet Information Services (IIS)中。

近日,奇安信CERT監測到Windows HTTP.sys 許可權提升漏洞(CVE-2023-23410)的細節和POC已在網際網路上公開,由於HTTP.sys在複製ServiceName時存在整數溢出漏洞,攻擊者可以構造惡意程序觸發該漏洞,成功利用此漏洞可實現許可權提升或拒絕服務。目前,奇安信CERT已成功復現此漏洞。鑑於此漏洞影響較大,建議客戶儘快做好自查及防護。

點選閱讀原文至ALPHA 6.0

即刻助力威脅研判

相關文章