Posted in漏洞预警
CVE-2024-6387漏洞预警
概述
近日,OpenSSH服务器爆出了一个严重的安全漏洞(CVE-2024-6387),该漏洞允许未经身份验证的攻击者在Linux系统上以root身份执行任意代码。目前,OpenSSH已经修复了该安全漏洞,发布了新版本OpenSSH 9.8p1。
Posted in威胁分析
2024年2月:UAC-0050组织针对白俄罗斯的攻击事件
概述
瑞星威胁情报于2024年2月捕获一起疑似针对白俄罗斯的攻击事件,攻击者向受害者投递带恶意附件的钓鱼邮件进行攻击,恶意附件是个DOCX文档,DOCX文档内被注入了恶意链接,恶意链接指向带有公式编辑器漏洞CVE-2017-11882的RTF文档,漏洞文档会访问特定网址下载VBS脚本并运行。VBS脚本经过混淆处理,解混淆后会获得一段PowerShell代码,PowerShell代码会从指定网址上获取被base64编码后的.NET程序,解码出.NET程序后,它会将从指定网址上下载的Remcos远控软件注入白文件RegAsm.exe中运行起来。Remcos远控工具有远程桌面、键盘记录、文件管理、命令执行等多种功能,它是一家名为Breaking Security的德国公司以远程控制和监视为名出售的合法工具,但经常被黑客滥用。
Posted in威胁分析
2024年5月:TransparentTribe组织针对印度什里·拉姆夫人女子学院的攻击事件
概述
2024年5月,瑞星威胁情报平台捕获到一起攻击事件,该事件中使用的诱饵文档与印度什里·拉姆夫人女子学院的宏观经济学课程有关,猜测攻击目标可能是与此相关的学生或者研究人员等。在攻击过程中,攻击者可能通过钓鱼邮件向目标投递恶意宏文档eco.xlam,利用宏代码释放同名诱饵文档eco.xlsx迷惑用户以及释放Crimson远控木马对目标进行窃密远程控制等恶意操作。
Posted in威胁分析
2021年8月:TransparentTribe组织针对印度的攻击事件分析报告
概述
近日,瑞星威胁情报中心发现了一起由Transparent Tribe发起针对印度国防部门相关人员的攻击活动。捕获的样本名为CSD hire purchase list aug 2021.xlsx,中文名为2021年8月CSD租购清单,其中CSD为国防食堂商店部门的缩写,属于印度国防部的下属企业,负责为印度武装部队提供民生用品。此次攻击活动推测是由钓鱼邮件开启,诱骗特定用户打开包含恶意宏的诱饵文档,执行宏代码后下载并执行自定义的.NET远控木马,通过与C2服务器通信从而实现信息窃取和远程控制。