Kaspersky发现UEFI固件rootkit CosmicStrand

首页 > 安全钻研 > 安全传递 > 安全简讯

Kaspersky发现UEFI固件rootkit CosmicStrand

颁布功夫 2022-07-27

1、Kaspersky发现UEFI固件rootkit CosmicStrand

Kaspersky在7月25日披露了统一可扩大固件接口(UEFI)rootkit CosmicStrand的技术细节。钻研人员暗示，该rootkit位于技嘉或华硕主板的固件映像中，这是2013年至2015年之间的旧硬件，此刻大部门已停产。这些映像都与使用H81芯片组的设计有关，这批注其中可能存在一个常见缝隙，可被攻击者用来将rootkit注入固件的映像中。目前，习染的初始接见媒介依然未知。

https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

2、攻击者利用PrestaShop平台中缝隙入侵在线商店

据7月25日报路，攻击者利用开源电子商务平台PrestaShop中的缝隙（CVE-2022-36408）攻击在线商店。PrestaShop是欧洲和拉丁美洲当先的开源电子商务解决规划，被全球近300000家在线商家使用。该缝隙影响了PrestaShop 1.6.0.10或更高版本，以及1.7.8.2或更高版本中运行了易被SQL注入攻击的�？椋ㄈ鏦ishlist 2.0.0至2.1.0�？椋�。利用该缝隙，攻击者能够执行肆意代码并窃取客户的支付信息，该缝隙已在1.7.8.7版本中建复。

https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html

3、钻研人员泄漏QBot利用Windows推算器习染指标设备

7月24日报路，ProxyLife发现至少从7月11日起，Qbot就一向在滥用Windows 7 Calculator利用进行DLL侧加载攻击�；疃褂玫亩褚庥始杏幸桓鯤TML附件，会下载蕴含ISO文件的ZIP。ISO中有一个.LNK 文件、“calc.exe”（Windows推算器）副本和两个DLL文件，即WindowsCodecs.dll和名为7533.dll的payload。.LNK快捷方式指向Windows中的推算器利用，加载后Windows 7推算器会自动搜索并加载合法WindowsCodecs DLL文件。但它不会查抄某些硬编码蹊径中的DLL，若是将其与Calc.exe放在统一文件夹中，它将加载拥有一样名称的所有DLL。

https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/

4、印度保险公司Policybazaar称其系统被未授权接见

媒体7月19日称，印度保险公司Policybazaar遭到了未经授权的接见。该公司的母公司PB Fintech在上周日颁布公告，称它在7月19日发现了利用其系统中缝隙的犯法的未经授权的接见。该公司暗示，目前已建复缝隙，并已启动对系统的审计，审查发现没有任何沉要的客户数据泄露。泄露通知尚未提及哪些数据已被泄露或有几多客户受到影响。此表，PB Fintech的股价从上周五的522卢比着落至周一的499.70卢比。

https://www.infosecurity-magazine.com/news/indian-insurance-policybazaar/

5、黑客在暗网公开Rust开发的的某窃取法式的源代码

媒体7月25日称，黑客在暗网公开了用Rust开发的的某信息窃取恶意软件的源代码。该恶意软件开发者宣称只用了六个颖厩开发出来了，它极度荫蔽，VirusTotal返回的检测率约为22%。Cyble将其定名为Luca Stealer，执行时它会从30个基于Chromium的浏览器中窃取数据，重要针对密码治理器浏览器插件。Cyble汇报已经检测到至少25个在野利用的Luca Stealer样本，尚不明显这种新的恶意软件是否会被大规模部署。固然该恶意软件由跨平台说话Rust编写，但目前其只针对Windows系统。

https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/

6、微软颁布利用恶意IIS扩大的攻击活动的分析汇报

7月26，微软颁布了关于利用Internet信息服务(IIS)扩大的攻击活动的分析。汇报指出，攻击者越来越多地使用恶意IIS Web服务器扩大作为服务器的荫蔽后门，由于与Web shell相比，它的检测率较低。通常，攻击者首先会利用托管利用中的一个漏敞起头初始接见，而后装置一个剧本Webshell作为第一阶段payload。之后，攻击者会装置一个IIS后门，以对服务器进行荫蔽和悠久的接见。装置后，恶意IIS�？榛岽又副晗低车哪诖嬷星匀⊥创�，网络信息，并装置更多payload。微软预计将来会有更多此类攻击。

https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研