安全资讯报告

高度严重的Rust编程错误可能导致文件、目录删除

Rust编程语言的维护者发布了一个针对高严重性漏洞的安全更新，该漏洞可能被恶意方滥用，以未经授权的方式从易受攻击的系统中清除文件和目录。

Rust安全响应工作组(WG)在2021年1月20日发布的公告中表示：“攻击者可以利用此安全问题诱使特权程序删除攻击者无法访问或删除的文件和目录。”

Rust1.0.0到Rust1.58.0受此漏洞影响。该漏洞被追踪为CVE-2022-21658（CVSS评分：7.3），归功于安全研究员HansKratz，该团队在上周发布的Rust1.58.1版本中推出了修复程序。

具体来说，问题源于在名为“std::fs::remove_dir_all”的标准库函数中执行不正确的检查以防止递归删除符号链接（又名symlinks）。这会导致竞争条件，反过来，攻击者可以通过滥用他们对特权程序的访问来删除敏感目录，从而可靠地利用这种条件。

新闻来源：

https://thehackernews.com/2022/01/high-severity-rust-programming-bug.html

加拿大外交部被黑，部分服务中断

加拿大政府外交和领事关系部加拿大全球事务部上周遭到网络攻击。虽然关键服务仍可访问，但目前无法访问某些在线服务，因为政府系统继续从攻击中恢复。

在一份声明中，加拿大财政部秘书处(TBS)、加拿大共享服务部和通信安全机构共同证实，上周某个时间发生了涉及加拿大全球事务部的网络事件。该攻击于1月19日被发现，之后采取了缓解措施。

加拿大政府进一步表示，已经采取了缓解措施并且系统正在恢复，有一些互联网和基于互联网的服务的访问不可用，没有迹象表明任何其他政府部门受到了这次袭击的影响，事件背后的威胁行为者尚未揭晓。

新闻来源：

https://www.bleepingcomputer.com/news/security/canadas-foreign-affairs-ministry-hacked-some-services-down/

TrickBot恶意软件使用新技术逃避检测

臭名昭著的TrickBot恶意软件背后的网络犯罪运营商再次加大了赌注，通过添加多层防御来绕过反恶意软件产品来微调其技术。

TrickBot最初是一种银行木马，现已发展成为一种多用途的犯罪软件即服务(CaaS)，被各种行为者用来提供额外的有效载荷，例如勒索软件。迄今为止，已经确定了100多种TrickBot变体，其中之一是“Trickboot”模块，可以修改受感染设备的UEFI固件。

2020年秋季，微软与少数美国政府机构和私人安全公司联手应对TrickBot僵尸网络，在全球范围内关闭了大部分基础设施，以阻碍其运营。

但事实证明，TrickBot不受删除尝试的影响，运营商迅速调整他们的技术，通过网络钓鱼和恶意垃圾邮件攻击传播多阶段恶意软件，更不用说通过与Shathak（又名TA551）等其他附属公司合作来扩展他们的分销渠道扩大规模。

最近，涉及Emotet的恶意软件活动已将TrickBot作为“交付服务”触发感染链，将Cobalt Strike后门投放到受感染的系统上。截至2021年12月，估计有149个国家/地区的140,000名受害者被TrickBot感染。

IBM Trusteer观察到的新更新与用于窃取银行凭证和浏览器cookie的实时Web注入有关。这通过在尝试导航到银行门户时将受害者引导到钓鱼网址来实现，这是所谓的浏览器中间人攻击的一部分。

还使用了一种服务器端注入机制，该机制拦截来自银行服务器的响应并将其重定向到攻击者控制的服务器，该服务器反过来在网页中插入额外的代码，然后再将其转发回客户端。

新闻来源：

https://thehackernews.com/2022/01/trickbot-malware-using-new-techniques.html

随着物联网攻击的增加，专家担心更严重的威胁

随着针对物联网设备的攻击不断增加，威胁研究人员警告公司要确保他们了解自己的设备并制定适当的流程来维护和保护它们。

在1月25日的一篇博客文章中，威胁情报公司Intel471表示，2020年和2021年对物联网设备的攻击激增，导致机密信息被盗，并创建了用于发起分布式拒绝服务(DDoS)攻击的大规模僵尸网络。该公司还看到主要的恶意软件代码库Mirai和Gafgyt被用来破坏连接设备，其中Mirai的变体是在地下论坛上向目标公司出售非法访问权限的最流行方式。

英特尔471首席情报官Michael DeBolt表示，随着攻击者转向更注重利润的动机，这种威胁今年只会增加。

物联网市场的两个趋势正在融合，从而产生一个重大的安全问题。大量设备的制造商正在添加用于管理和更新的连接功能，并提供额外的服务，从而在大多数组织中导致更大的攻击面。然而，这些设备的管理并没有跟上步伐，使得其中许多设备容易受到攻击。

例如，根据Cynerio1月20日的一份报告，在医疗领域，医疗环境中53%的联网医疗设备和其他物联网设备存在严重漏洞。静脉泵和病人监护仪是医院中最常见的连接设备，占平均医疗环境中物联网设备的57%。

物联网设备中的漏洞远远超出家庭路由器和消费产品。由于许多这些连接的设备都基于相同的操作系统（例如Linux或Wind River System的VxWorks），因此各种医疗设备、制造控制器和监控系统（仅举几例）也经常被发现存在漏洞。对物联网控制器或监控设备的攻击很容易导致公用事业、医院或智能建筑和城市基础设施内的运营停止，从而使任何赎金需求变得更加重要。

新闻来源：

https://www.darkreading.com/iot/as-iot-attacks-increase-experts-fear-more-serious-threats

黑客使用新的恶意软件打包程序DTPacker来避免检测

一个名为DTPacker的以前未记录的恶意软件打包程序分发多个远程访问特洛伊木马（RAT）和信息窃取程序，如Agent Tesla，Ave Maria，AsyncRAT和FormBook，以掠夺信息并促进后续攻击,该恶意软件使用多种混淆技术来逃避防病毒，沙盒和分析。

涉及打包程序的攻击链依赖于网络钓鱼电子邮件作为初始感染媒介。这些邮件包含恶意文档或压缩的可执行附件，打开后，会部署打包程序以启动恶意软件。

打包程序与下载器的不同之处在于，它们携带了混淆的有效载荷，以一种充当"保护二进制文件的盔甲"的方式向安全解决方案隐藏其真实行为，并使逆向工程更加困难。

DTPacker的不同之处在于它的功能是两者兼而有之。它的名字来源于这样一个事实，即它使用了两个唐纳德·特朗普主题的固定键-"trump2020"和"Trump2026"-来解码最终提取和执行最终有效负载的嵌入式或下载资源。

新闻来源：

https://thehackernews.com/2022/01/hackers-using-new-malware-packer.html

在polkit的pkexec中发现本地提权漏洞（CVE-2021-4034）

研究人员今天警告说，Polkit的pkexec组件中的一个漏洞被识别为CVE-2021-4034（PwnKit），漏洞存在于所有主要Linux发行版的默认配置中，可以被利用来获得系统root权限。

CVE-2021-4034被命名为PwnKit，其起源已被追踪到12年前pkexec的初始提交，这意味着所有Polkit版本都受到影响。作为Polkit开源应用程序框架的一部分，该框架协商特权和非特权进程之间的交互，pkexec允许授权用户以另一个用户的身份执行命令，作为sudo的替代方案。

研究人员发现，pkexec程序可以被本地攻击者用来增加Ubuntu，Debian，Fedora和CentOS默认安装的权限。PwnKit也可能在其他Linux操作系统上被利用。PwnKit是"Polkit中的内存损坏漏洞，它允许任何非特权用户使用默认polkit配置在易受攻击的系统上获得系统root权限。”

在Qualys发布PwnKit的技术细节后不到三个小时，互联网已出现一个漏洞利用POC。经验证，该POC可以利用获取系统root权限。研究人员在ARM64系统上进一步测试了它，表明它也适用于该架构。

Ubuntu已经推送了PolicyKit的更新，以解决版本14.04和16.04ESM（扩展安全维护）以及更新版本18.04、20.04和21.04中的漏洞。用户只需运行标准系统更新，然后重新启动计算机即可使更改生效。

Redhat还为工作站和企业产品上的polkit提供了安全更新，用于支持的架构，以及扩展生命周期支持、TUS和AUS。

对于尚未推送修补程序的操作系统，临时缓解措施是使用以下命令剥离pkexec的读/写权限：

chmod0755/usr/bin/pkexec

新闻来源：

https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

黑客利用MSHTML漏洞监视政府和国防目标

网络安全研究人员周二结束了一场多阶段的间谍活动，目标是监督国家安全政策的高级政府官员和西亚国防工业的个人。

该攻击是独一无二的，因为它利用Microsoft OneDrive作为命令和控制（C2）服务器，并分为多达六个阶段，以尽可能隐藏，Trellix-一家在安全公司McAfee Enterprise和FireEye合并后创建的新公司-在与黑客新闻分享的一份报告中说。

"这种类型的通信使恶意软件在受害者的系统中不被注意，因为它只会连接到合法的Microsoft域，而不会显示任何可疑的网络流量，"Trellix解释说。

据说，与秘密行动相关的初步活动迹象早在2021年6月18日就开始了，9月21日和29日报告了两名受害者，随后在10月6日至8日的短短三天内又报告了17名受害者。

Trellix将这些攻击适度地归因于总部位于俄罗斯的APT28组织，该组织是2020年SolarWinds妥协背后的威胁行为者，基于源代码以及攻击指标和地缘政治目标的相似性。

感染链始于执行包含MSHTML远程执行代码漏洞（CVE-2021-40444）的Microsoft Excel文件，该文件用于运行恶意二进制文件，该文件充当称为Graphite的第三阶段恶意软件的下载程序。

DLL可执行文件使用OneDrive作为C2服务器，通过Microsoft Graph API检索其他stager恶意软件，最终下载并执行Empire，这是一个基于PowerShell的开源后开发框架，被威胁行为者广泛滥用用于后续活动。

如果有的话，这一发展标志着对MSTHML渲染引擎缺陷的持续利用，微软和SafeBreach Labs披露了多个活动，这些活动已经将漏洞武器化，以植入恶意软件并分发自定义Cobalt Strike Beacon加载器。

新闻来源：

https://thehackernews.com/2022/01/hackers-exploited-mshtml-flaw-to-spy-on.html