一、Microsoft Build Engine被滥用进行无文件恶意软件分发（5月17日）

据悉，微软和Visual Studio一起构建的MSBuild平台允许开发人员在内存中执行代码，该特性被竞争对手滥用，以实现他们的恶意负载的无文件传输。

详细信息

研究人员透露，这些威胁行动者在恶意MSBuild文件中对可执行文件和shellcode进行了编码，并将其托管在俄罗斯图像托管网站joxi . net上。

攻击者使用C++编写，包含抗AV功能，可以收集凭据和系统信息，记录击键，捕获屏幕，还可以执行脚本，从而利用Remcos RAT可以完全从远程掌控受感染的计算机。攻击中使用的大多数分析过的MSBuild项目文件(.proj)都可用来交付Remcos RAT作为最终有效载荷的。

用.NET编写的RedLine Stealer具有广泛的数据盗窃功能，旨在针对Cookie，各种应用程序和服务的凭证，加密钱包，存储在网络浏览器中的信息以及系统数据。

由于RemcosRAT和RedLine Stealer都是普通恶意软件，所以目前无法确定发起攻击的幕后黑手是谁。

参考链接：

https://www.securityweek.com/microsoft-build-engine-abused-fileless-malware-delivery

二、Magecart黑客传播恶意PHP WebShell（5月18日）

Magecart Group12黑客组织攻击网上商店和电子商务网站，现在正在传播伪装成favicons的恶意PHP WebShell。WebShell使攻击者可以远程访问服务器，然后窃取目标信息。

详细信息

研究人员称，名为Megalodon或Smilodon的恶意PHP webshell用于将带有服务器端请求的JavaScript代码动态加载到在线商店中，以窃取信息。

基于PHP的Web Shell恶意软件（被隐藏为图标）被隐藏在目标站点中，其中包含伪造PNG图像文件的路径，而不是合法的快捷方式图标标记。

反过来，此Web Shell配置为从外部主机（信用卡分离器）获得下一阶段的有效负载，该外部分离器与Cardbleed攻击中使用的其他变体具有相似性。

通常，注入的skimmers向托管在攻击者控制域中的外部JavaScript资源发出客户端请求，但是，在最近的攻击中，它是在服务器端完成的。

这种类型的攻击称为Formjacking攻击，其中，攻击者将JavaScript代码偷偷地插入单个或多个电子商务网站中。

参考链接：https://cyware.com/news/magecart-hackers-spreading-malicious-php-web-shells-77198acd

三、macOS SMB服务器中存在整数溢出漏洞（5月19日）

最近在Apple macOS的SMB服务器中发现了一个可利用的整数溢出漏洞，该漏洞可能导致信息泄露。

详细信息

服务器消息块（SMB）是Windows网络环境中常见的网络文件共享，但是macOS包含其自身对服务器和客户端组件的专有实现。CVE-2021-1878是一个整数溢出漏洞，存在于macOS SMB服务器处理SMB3复合数据包的方式中。

攻击者可以通过向目标SMB服务器发送特制数据包来利用此漏洞。除了能够看到敏感信息之外，攻击者还可以使用整数溢出来绕过加密检查并导致拒绝服务。

参考链接：https://blog.talosintelligence.com

来源：安芯网盾

如若转载，请注明原文地址