Kaspersky发明UEFI固件rootkit CosmicStrand

首页 > 清静研究 > 清静转达 > 清静简讯

Kaspersky发明UEFI固件rootkit CosmicStrand

宣布时间 2022-07-27

1、Kaspersky发明UEFI固件rootkit CosmicStrand

Kaspersky在7月25日披露了统一可扩展固件接口(UEFI)rootkit CosmicStrand的手艺细节。研究职员体现，该rootkit位于技嘉或华硕主板的固件映像中，这是2013年至2015年之间的旧硬件，现在大部分已停产。这些映像都与使用H81芯片组的设计有关，这批注其中可能保存一个常见误差，可被攻击者用来将rootkit注入固件的映像中。现在，熏染的初始会见前言仍然未知。

https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

2、攻击者使用PrestaShop平台中误差入侵在线市肆

据7月25日报道，攻击者使用开源电子商务平台PrestaShop中的误差（CVE-2022-36408）攻击在线市肆。PrestaShop是欧洲和拉丁美洲领先的开源电子商务解决计划，被全球近300000家在线商家使用。该误差影响了PrestaShop 1.6.0.10或更高版本，以及1.7.8.2或更高版本中运行了易被SQL注入攻击的�？椋ㄈ鏦ishlist 2.0.0至2.1.0�？椋�。使用该误差，攻击者可以执行恣意代码并窃取客户的支付信息，该误差已在1.7.8.7版本中修复。

https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html

3、研究职员透露QBot使用Windows盘算器熏染目的装备

7月24日报道，ProxyLife发明至少从7月11日起，Qbot就一直在滥用Windows 7 Calculator应用举行DLL侧加载攻击�Ｔ硕褂玫亩褚庥始杏幸桓鯤TML附件，会下载包括ISO文件的ZIP。ISO中有一个.LNK 文件、“calc.exe”（Windows盘算器）副本和两个DLL文件，即WindowsCodecs.dll和名为7533.dll的payload。.LNK快捷方法指向Windows中的盘算器应用，加载后Windows 7盘算器会自动搜索并加载正当WindowsCodecs DLL文件。但它不会检查某些硬编码路径中的DLL，若是将其与Calc.exe放在统一文件夹中，它将加载具有相同名称的所有DLL。

https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/

4、印度包管公司Policybazaar称其系统被未授权会见

媒体7月19日称，印度包管公司Policybazaar遭到了未经授权的会见。该公司的母公司PB Fintech在上周日宣布通告，称它在7月19日发明了使用其系统中误差的不法的未经授权的会见。该公司体现，现在已修复误差，并已启动对系统的审计，审查发明没有任何主要的客户数据泄露。泄露通知尚未提及哪些数据已被泄露或有几多客户受到影响。别的，PB Fintech的股价从上周五的522卢比下跌至周一的499.70卢比。

https://www.infosecurity-magazine.com/news/indian-insurance-policybazaar/

5、黑客在暗网果真Rust开发的的某窃取程序的源代码

媒体7月25日称，黑客在暗网果真了用Rust开发的的某信息窃取恶意软件的源代码。该恶意软件开发者声称只用了六个小时就开发出来了，它很是隐藏，VirusTotal返回的检测率约为22%。Cyble将其命名为Luca Stealer，执行时它会从30个基于Chromium的浏览器中窃取数据，主要针对密码治理器浏览器插件。Cyble报告已经检测到至少25个在野使用的Luca Stealer样本，尚不清晰这种新的恶意软件是否会被大规模安排。虽然该恶意软件由跨平台语言Rust编写，但现在其只针对Windows系统。

https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/

6、微软宣布使用恶意IIS扩展的攻击运动的剖析报告

7月26，微软宣布了关于使用Internet信息服务(IIS)扩展的攻击运动的剖析。报告指出，攻击者越来越多地使用恶意IIS Web服务器扩展作为服务器的隐藏后门，由于与Web shell相比，它的检测率较低。通常，攻击者首先会使用托管应用中的一个误差最先初始会见，然后装置一个剧本Webshell作为第一阶段payload。之后，攻击者会装置一个IIS后门，以对服务器举行隐藏和长期的会见。装置后，恶意IIS�？榛岽幽康南低车哪诖嬷星匀∑局�，网络信息，并装置更多payload。微软预计未来会有更多此类攻击。

https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究