Stacked VLAN中的4个可导致DoS和MiTM攻击的误差

首页 > 清静研究 > 清静转达 > 清静简讯

Stacked VLAN中的4个可导致DoS和MiTM攻击的误差

宣布时间 2022-09-30

1、Stacked VLAN中的4个可导致DoS和MiTM攻击的误差

据媒体9月28日报道，，，，，，Stacked VLAN以太网功效中的4个误差可被用来通过定制的数据包对目的执行拒绝效劳(DoS)或中心人(MitM)攻击。。Stacked VLAN是现代路由器和交流机中的一项功效，，，，，，允许公司将多个VLAN ID封装到与上游提供商共享的单个VLAN毗连中。。这些误差保存于允许VLAN标头堆叠的以太网封装协议中，，，，，，划分为CVE-2021-27853、CVE-2021-27854、CVE-2021-27861和CVE-2021-2786，，，，，，未经身份验证的相邻攻击者可以使用VLAN和LLC/SNAP标头的组合来绕过L2网络过滤�；；；；�，，，，，，例如IPv6 RA防护、动态ARP检查和DHCP侦听等。。

https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/

2、攻击者使用Quantum Builder来分发Agent Tesla

Zscaler在9月27日披露了攻击者使用Quantum Builder分发远程会见木马Agent Tesla的活动。。Quantum Builder是一种可定制的工具，，，，，，在暗网以每月189欧元的价钱出售，，，，，，可用于天生恶意快捷方法文件以及HTA、ISO和PowerShell payload。。攻击使用的垂纶邮件声称是来自中国块糖和冰糖供应商的订单确认信息，，，，，，其中的LNK文件伪装成PDF文档。。执行LNK后，，，，，，嵌入式PowerShell代码会天生MSHTA，，，，，，然后执行托管在远程效劳器上的HTA文件，，，，，，最终下载并执行Agent Tesla二进制文件。。

https://www.zscaler.com/blogs/security-research/agent-tesla-rat-delivered-quantum-builder-new-ttps

3、Securonix发明主要针对军事承包商的新一轮攻击活动

据9月28日报道，，，，，，Securonix的研究职员发明了主要针对加入武器制造的多家军事承包商的新活动，，，，，，其中可能包括F-35 Lightning II战斗机零件供应商。。该活动始于2022年夏末，，，，，，使用了鱼叉式网络垂纶作为初始熏染前言。。邮件中包括一个快捷文件在执行时会毗连到C2，，，，，，并启动一连串的PowerShell剧本。。有趣的是，，，，，，这个快捷文件没有使用常用的cmd.exe或powershell.exe，，，，，，而是依赖于C:\Windows\System32\ForFiles.exe下令来执行。。别的，，，，，，该活动的C2基础设施的域于2022年7月注册并托管在DigitalOcean上。。

https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/

4、Witchetty使用隐写术将后门隐藏在Windows图标中

Symantec于9月29日称其发明了Witchetty使用隐写术将后门恶意软件隐藏在Windows图标中。。研究职员透露他们正在视察一起新的特工活动，，，，，，该活动最先于2022年2月，，，，，，针对中东的两个政府机构和非洲的一家证券生意所，，，，，，现在仍在举行中。。攻击者首先使用ProxyShell和ProxyLogon误差，，，，，，在目的效劳器上下载webshell，，，，，，然后获取隐藏在图像文件中的后门。。虽然该团伙仍在使用LookBack后门，，，，，，但似乎已添加了几个新的恶意软件，，，，，，如Backdoor.Stegmap，，，，，，它使用隐写术从位图图像中提取其payload。。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage

5、Kaspersky宣布关于Prilex的攻击活动的剖析报告

9月28日，，，，，，Kaspersky宣布了关于巴西黑客团伙Prilex的攻击的剖析报告。。该团伙自2014年最先活跃，，，，，，在2016年决议放弃ATM恶意软件，，，，，，将所有攻击集中在PoS系统上。。Prilex的最新版本在攻击方法上与之前版本保存某些差别，，，，，，即该团伙已从重放攻击转变为使用GHOST生意，，，，，，该手艺在店内支付历程中使用目的卡天生的密码不法兑现资金。。Prilex对信用卡和借记卡生意以及用于支付处置惩罚的软件的事情原理很是熟练，，，，，，因此可以一直更新工具，，，，，，并找到绕过授权战略的要领，，，，，，从而执行攻击。。

https://securelist.com/prilex-atm-pos-malware-evolution/107551/

6、Lumen宣布基于Go的恶意软件Chaos的手艺剖析报告

9月28日，，，，，，Lumen宣布了基于Go的恶意软件Chaos的手艺剖析报告。。近几个月来，，，，，，Chaos的数目迅速增添，，，，，，旨在将种种Windows和Linux装备、SOHO路由器和企业效劳器等诱入僵尸网络。。Chaos的功效包括枚举主机情形、运行远程shell下令、加载附加�？？？？？椤⑼ü匀『捅┝ζ平釹SH私钥自动撒播以及执行DDoS攻击。。Chaos似乎正在使用另一个僵尸网络Kaiji的构建块和功效，，，，，，研究职员凭证对100多个样本中的功效剖析，，，，，，推测Chaos是Kaiji的下一次迭代。。

https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究