Microsoft Build Engine被濫用進行無檔案惡意軟體分發

2021-05-24 17:31:21

安芯網盾記憶體安全週報專欄，希望幫助企業更好的理解記憶體安全相關問題。讓使用者更好的認識、發現問題，防止外部入侵等威脅、有效的對系統進行安全設計，以實時防禦並終止無檔案攻擊、0day /Nday攻擊、緩衝區溢位攻擊、基於記憶體的攻擊等。

一、Microsoft Build Engine被濫用進行無檔案惡意軟體分發（5月17日）

據悉，微軟和Visual Studio一起構建的MSBuild平臺允許開發人員在記憶體中執行程式碼，該特性被競爭對手濫用，以實現他們的惡意負載的無檔案傳輸。

詳細資訊

研究人員透露，這些威脅行動者在惡意MSBuild檔案中對可執行檔案和shellcode進行了編碼，並將其託管在俄羅斯影象託管網站joxi . net上。

攻擊者使用C++編寫，包含抗AV功能，可以收集憑據和系統資訊，記錄擊鍵，捕獲螢幕，還可以執行指令碼，從而利用Remcos RAT可以完全從遠端掌控受感染的計算機。攻擊中使用的大多數分析過的MSBuild項目檔案(.proj)都可用來交付Remcos RAT作為最終有效載荷的。

用.NET編寫的RedLine Stealer具有廣泛的資料盜竊功能，旨在針對Cookie，各種應用程式和服務的憑證，加密錢包，儲存在網路瀏覽器中的資訊以及系統資料。

由於RemcosRAT和RedLine Stealer都是普通惡意軟體，所以目前無法確定發起攻擊的幕後黑手是誰。

參考連結：

https://www.securityweek.com/microsoft-build-engine-abused-fileless-malware-delivery

二、Magecart黑客傳播惡意PHP WebShell（5月18日）

Magecart Group12黑客組織攻擊網上商店和電子商務網站，現在正在傳播偽裝成favicons的惡意PHP WebShell。WebShell使攻擊者可以遠端訪問伺服器，然後竊取目標資訊。

詳細資訊

研究人員稱，名為Megalodon或Smilodon的惡意PHP webshell用於將帶有伺服器端請求的JavaScript程式碼動態載入到線上商店中，以竊取資訊。

基於PHP的Web Shell惡意軟體（被隱藏為圖示）被隱藏在目標站點中，其中包含偽造PNG影象檔案的路徑，而不是合法的快捷方式圖示標記。反過來，此Web Shell配置為從外部主機（信用卡分離器）獲得下一階段的有效負載，該外部分離器與Cardbleed攻擊中使用的其他變體具有相似性。通常，注入的skimmers向託管在攻擊者控制域中的外部JavaScript資源發出客戶端請求，但是，在最近的攻擊中，它是在伺服器端完成的。這種類型的攻擊稱為Formjacking攻擊，其中，攻擊者將JavaScript程式碼偷偷地插入單個或多個電子商務網站中。參考連結：https://cyware.com/news/magecart-hackers-spreading-malicious-php-web-shells-77198acd

三、macOS SMB伺服器中存在整數溢位漏洞（5月19日）

最近在Apple macOS的SMB伺服器中發現了一個可利用的整數溢位漏洞，該漏洞可能導致資訊洩露。

詳細資訊

伺服器訊息塊（SMB）是Windows網路環境中常見的網路檔案共享，但是macOS包含其自身對伺服器和客戶端元件的專有實現。CVE-2021-1878是一個整數溢位漏洞，存在於macOS SMB伺服器處理SMB3複合資料包的方式中。

攻擊者可以通過向目標SMB伺服器傳送特製資料包來利用此漏洞。除了能夠看到敏感資訊之外，攻擊者還可以使用整數溢位來繞過加密檢查並導致拒絕服務。

參考連結：https://blog.talosintelligence.com

Microsoft Build Engine被濫用進行無檔案惡意軟體分發

熱門文章