資安威脅趨勢 - 印度軟體開發業者Conceptworld遭遇供應鏈攻擊,旗下產品安裝檔被植入竊資軟體

-

                                                                                        


印度軟體開發業者Conceptworld遭遇供應鏈攻擊,旗下產品安裝檔被植入竊資軟體

一、摘要

         資安業者Rapid7揭露針對印度軟體開發業者Conceptworld的攻擊行動,攻擊者竄改該公司推出的便箋應用程式Notezilla、剪貼簿管理程式RecentX、檔案複製工具Copywhiz安裝程式。一旦使用者下載、執行安裝,電腦就有可能下載並執行額外的惡意酬載,惡意程式會以每3小時執行一次的頻率去實施排程工作


、存在風險

        資安業者Rapid7揭露針對印度軟體開發業者Conceptworld的攻擊行動,攻擊者竄改該公司推出的便箋應用程式Notezilla、剪貼簿管理程式RecentX、檔案複製工具Copywhiz安裝程式進行資訊竊取,並且一旦使用者安全完成,該惡意程式會自動下載並執行其他惡意酬載。


駭客攻擊技術分析:

  • Initial Access:Rapid7發現,32和64位元的Notezilla, Copywhiz, and RecentX安裝檔案已遭到感染,其下載檔案可讓眾多使用網際路的使用者透過任一搜尋引擎連線到官方網站conceptworld[.]com進行下載。

  • Execution:一旦電腦被感染惡意程式,就會以每3個小時執行一次的頻率去進行夾帶有效酬載的工作排程任務。內含的惡意軟體能夠竊取瀏覽器帳密資料、加密貨幣錢包資訊,並側錄剪貼簿內容、使用者鍵盤輸入的內容,而且還能下載並執行其他的惡意酬載。

IoC:

  • 6F49756749D175058F15D5F3C80C8A7D46E80EC3E5EB9FB31F4346ABDB72A0E7
  • BFA99C41AECC814DE5B9EB8397A27E516C8B0A4E31EDD9ED1304DA6C996B4AAA
  • 2EAE4F06F2C376C6206C632AC93F4E8C4B3E0E63ECA3118E883F8AC479B2F852
  • 048CAE10558CDDFB2CF0ADE25F1101909BBA58D0A448E0D78590CC5E64E95127
  • 4DF9B7DA9590990230ED2AB9B4C3D399CF770ED7F6C36A8A10285375FD5A292F
  • EBF2B84ED64629242F8D0ABFCA73344736205249539474E8F57D1D3DBE8CCC41
  • 1FA84B696B055F614CCD4640B724D90CCAD4AFC035358822224A02A9E2C12846
  • CDC1F2430681E9278B3F738ED74954C4366B8EFF52C937F185D760C1BBBA2F1D
  • FDC84CB0845F87A39B29027D6433F4A1BBD8C5B808280235CF867A6B0B7A91EB
  • A89953915EABE5C4897E414E73F28C300472298A6A8C055FCC956C61C875FD96
  • 70BCE9C228AACBDADAAF18596C0EB308C102382D04632B01B826E9DB96210093
  • CA6FF18EE006E7AB3CB42FC541B08CE4231DADFAB0CCE57B1C126DB3DF9F1297
  • 33E4D5EED3527C269467EEC2AC57AE94AE34FD1D0A145505A29C51CF8E83F1B9
  • 03761D9FD24A2530B386C07BF886350AE497E693440A9319903072B93A30C82D
  • 6487A0DC9DFBBAA6557AF096178A1361E49762A41500AA03F17DF5D3B159BF4E
  • DE4E03288071CDEBE5C26913888B135FB2424132856CC892BAEA9792D6C66249
  • 5.180.185[.]42
  • 50.2.108[.]102
  • 50.2.191[.]154
  • 104.140.17[.]242
  • 104.206.2[.]18
  • 104.206.57[.]117
  • 104.206.95[.]146
  • 104.206.220[.]113
  • 170.130.34[.]114
  • 185.137.137[.]74
  • 212.70.149[.]210

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                             Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過身份驗證。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露、遠端執行任意程式碼及資料篡改。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要             Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發敏感資料洩露、遠端執行任意程式碼及資料篡改 。
閱讀完整內容
-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-
圖片
  某企業 AD 上百組帳號大量登入失敗導致鎖定事件   一、案例故事 某企業客戶於某日下午發生 Exchange 遭受外部惡意主機大量進行暴力破解攻擊,導致企業內部環境 AD 伺服器短時間內被鎖定一百多筆帳號事件,而該企業也有在 Exchange 的 WebMail 上啟用雙因子認證,還是在短時間內遭受大量暴力破解攻擊,尋求雲智維科技團隊協助。  
閱讀完整內容
-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-
圖片
                                                                                                                                                            VMware修補vCenter Server heap-overflow和privilege escalation漏洞 一、 摘要           VMware於本週二(6/18)修補了位於vCenter Server中的3個安全漏洞,其中的CVE-2024-37079與CVE-2024-37080屬於堆積溢位漏洞,可導致遠端程式攻擊,其CVSS風險評分高達9.8,另一個CVE-2024-37081則是本地端權限擴充漏洞,CVSS風險評分為7.8。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                              Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過保安限制。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                       Fortinet 產品存在多個漏洞 一、 摘要            Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼、權限提升及繞過身份驗證。
閱讀完整內容
-->

漏洞分享 - HPE Aruba OS存在多個危急漏洞

-
圖片
   HPE Aruba OS存在多個危急漏洞  一、 摘要          HPE Aruba Networking發布資安公告,網路設備作業系統ArubaOS存在4項危急漏洞,若不修補,攻擊者就有可能在尚未通過身分驗證的情況下,以特權使用者的身分,於作業系統底層執行任意程式碼。 二 、存在風險          HPE Aruba Networking發布資安公告,網路設備作業系統ArubaOS存在4項危急漏洞,若不修補,攻擊者就有可能在尚未通過身分驗證的情況下,以特權使用者的身分,於作業系統底層執行任意程式碼, 其影響系統或版本如下 : 受影響之系統/漏洞描述: Unauthenticated Buffer Overflow Vulnerability in the Utility Daemon Accessed via the PAPI Protocol  CVE編號 : CVE-2024-26305  漏洞描述 : 在底層的Utility守護程序中存在緩衝區溢出漏洞,可能會通過發送特製封包到PAPI(Aruba的訪問點管理協議)UDP端口(8211)來進行未經身份驗證的遠程代碼執行。成功利用此漏洞將以特權用戶的身份在底層操作系統上執行任意代碼。 影響系統/版本 : ArubaOS 10.5.x.x: 10.5.1.0及以下 ArubaOS 10.4.x.x: 10.4.1.0及以下 ArubaOS 8.11.x.x: 8.11.2.1及以下 ArubaOS 8.10.x.x: 8.10.0.10及以下 Unauthenticated Buffer Overflow Vulnerability in the  L2/L3 Management Service Accessed via the PAPI Protocol CVE編號 : CVE-2024-26304 漏洞描述 : 在底層L2/L3管理服務中存在緩衝區溢出漏洞,可能通過發送特製封包到PAPI(Aruba的存取點管理協議)UDP端口(8211)來導致未經身份驗證的遠程代碼執行。成功利用此漏洞會導致在基礎操作系統上以特權用戶的身份執行任意代碼。 影響系統/版本 : ArubaOS 10.5.x.x: 10.5.1.0及以下 ArubaOS 10.4.x.x: 10.4.1.0及以下 ArubaOS
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                    Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露及資料篡改。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                         Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、權限提升及繞過保安限制。
閱讀完整內容
-->