Microsoft Build Engine被滥用进行无文件恶意软件分发
2021-05-24 16:22:18 Author: www.4hou.com(查看原文) 阅读量:140 收藏

导语:安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、Microsoft Build Engine被滥用进行无文件恶意软件分发(5月17日)

据悉,微软和Visual Studio一起构建的MSBuild平台允许开发人员在内存中执行代码,该特性被竞争对手滥用,以实现他们的恶意负载的无文件传输。

详细信息

研究人员透露,这些威胁行动者在恶意MSBuild文件中对可执行文件和shellcode进行了编码,并将其托管在俄罗斯图像托管网站joxi . net上。

攻击者使用C++编写,包含抗AV功能,可以收集凭据和系统信息,记录击键,捕获屏幕,还可以执行脚本,从而利用Remcos RAT可以完全从远程掌控受感染的计算机。攻击中使用的大多数分析过的MSBuild项目文件(.proj)都可用来交付Remcos RAT作为最终有效载荷的。

用.NET编写的RedLine Stealer具有广泛的数据盗窃功能,旨在针对Cookie,各种应用程序和服务的凭证,加密钱包,存储在网络浏览器中的信息以及系统数据。

由于RemcosRAT和RedLine Stealer都是普通恶意软件,所以目前无法确定发起攻击的幕后黑手是谁。

参考链接:

https://www.securityweek.com/microsoft-build-engine-abused-fileless-malware-delivery

二、Magecart黑客传播恶意PHP WebShell(5月18日)

Magecart Group12黑客组织攻击网上商店和电子商务网站,现在正在传播伪装成favicons的恶意PHP WebShell。WebShell使攻击者可以远程访问服务器,然后窃取目标信息。

详细信息

研究人员称,名为Megalodon或Smilodon的恶意PHP webshell用于将带有服务器端请求的JavaScript代码动态加载到在线商店中,以窃取信息。

基于PHP的Web Shell恶意软件(被隐藏为图标)被隐藏在目标站点中,其中包含伪造PNG图像文件的路径,而不是合法的快捷方式图标标记。

反过来,此Web Shell配置为从外部主机(信用卡分离器)获得下一阶段的有效负载,该外部分离器与Cardbleed攻击中使用的其他变体具有相似性。

通常,注入的skimmers向托管在攻击者控制域中的外部JavaScript资源发出客户端请求,但是,在最近的攻击中,它是在服务器端完成的。

这种类型的攻击称为Formjacking攻击,其中,攻击者将JavaScript代码偷偷地插入单个或多个电子商务网站中。

参考链接:https://cyware.com/news/magecart-hackers-spreading-malicious-php-web-shells-77198acd

三、macOS SMB服务器中存在整数溢出漏洞(5月19日)

最近在Apple macOS的SMB服务器中发现了一个可利用的整数溢出漏洞,该漏洞可能导致信息泄露。

详细信息

服务器消息块(SMB)是Windows网络环境中常见的网络文件共享,但是macOS包含其自身对服务器和客户端组件的专有实现。CVE-2021-1878是一个整数溢出漏洞,存在于macOS SMB服务器处理SMB3复合数据包的方式中。

攻击者可以通过向目标SMB服务器发送特制数据包来利用此漏洞。除了能够看到敏感信息之外,攻击者还可以使用整数溢出来绕过加密检查并导致拒绝服务。

参考链接:https://blog.talosintelligence.com

来源:安芯网盾

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/lXWg
如有侵权请联系:admin#unsafe.sh