研究团队披露已存在多年的Linux后门RotaJakiro；微软披露IoT和OT设备中的25个RCE漏洞BadAlloc

首页 > 宁静研究 > 宁静通报 > 宁静简讯

研究团队披露已存在多年的Linux后门RotaJakiro；微软披露IoT和OT设备中的25个RCE漏洞BadAlloc

宣布时间 2021-04-30

1.研究团队披露已存在多年的Linux后门RotaJakiro

研究团队披露自2018年以来就存在的Linux后门RotaJakiro，旨在从受熏染的设备中窃取敏感信息。RotaJakiro之所以得名，是因为它使用了轮换加密，而且在root帐户和非root帐户中执行时有所差异。此外，其使用了多种加密算法，包罗用于对样本中的资源信息进行加密的AES算法，以及用于C2通信的AES、XOR、ROTATE加密和ZLIB压缩，旨在尽可能隐蔽地运行。具有窃取设备指纹、文件和插件管理（查询、下载和删除）和执行特定插件的功效。

原文链接：

https://securityaffairs.co/wordpress/117332/breaking-news/rotajakiro-linux-backdoor.html

2.Naikon APT在针对东南亚军事组织的攻击中使用新后门Nebulae

Bitdefender发现，APT组织Naikon在针对东南亚军事组织的攻击活动中使用了新后门Nebulae。该组织自2010年以来开始活跃，主要针对菲律宾、马来西亚、印度尼西亚、新加坡和泰国的政府和军事组织。在近期的活动中（2019年6月至2021年3月），Naikon利用了合法软件加载Nebulae来实现持久性，该后门可以收集系统信息、利用文件和文件夹、从C2下载文件以及执行、列出或终止受熏染设惫亓进程。

原文链接：

https://securityaffairs.co/wordpress/117321/apt/naikon-apt-nebulae-backdoor.html

3.微软披露IoT和OT设备中的25个RCE漏洞BadAlloc

微软宁静研究人员在物联网（IoT）设备和运营技术（OT）工业系统中发现了25个远程代码执行（RCE）漏洞，被统称为BadAlloc。这些漏洞是由于整数溢出或环绕导致的，因为内存分配功效中没有进行输入验证，攻击者可以利用该功效来进行堆溢出，从而在目标设备上执行恶意代码。这些漏洞主要影响了消费者、医疗和工业的网络，CISA建议组织应用可用的供应商更新、尽量减少系统网络的袒露、将控制系统的网络和远程设备置于防火墙之后并与业务网络隔离以及使用VPN进行远程访问。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-finds-critical-code-execution-bugs-in-iot-ot-devices/

4.黑客论坛OGUsers遭到第四次攻击，其数据库被出售

宁静公司KELA称OGUsers已确认其遭到攻击，这是其两年内遭到的第四次入侵。OGUsers是一个黑客论坛，主要出售通过SIM交换攻击、凭据填充攻击等方式得到的社交媒体帐户。据悉，攻击发生在2021年4月11日，黑客将Web Shell上传到了OGUsers的服务器，并在暗网以3000美元的价格出售其数据库，其中包罗约350000个会员的用户记录和私人消息。早在在2019年5月、2020年4月和2020年11月，OGUsers遭到了3次攻击。

原文链接：

https://www.bleepingcomputer.com/news/security/fourth-times-a-charm-ogusers-hacking-forum-hacked-again/

5.Google宁静更新，修复Chrome V8中的代码执行漏洞

Google宣布宁静更新，修复了Chrome V8中的代码执行漏洞。该漏洞被追踪为，位于浏览器使用的V8 JavaScript引擎中，是由于数据验证不足导致的。将其与沙盒逃逸漏洞结合使用可以在操作系统上执行恶意代码，与已被修复的CVE-2020-16040和CVE-2020-15965漏洞相关。此外，此次更新还修复了ANGLE组件中的堆缓冲区溢出漏洞（CVE-2021-21233）和V8组件中的类型混淆漏洞（CVE-2021-21230）等其它8个漏洞。

原文链接：

https://threatpost.com/google-chrome-v8-bug-remote-code-execution/165662/

6.英国铁路网站Merseyrail熏染Lockbit，客户信息泄露

Merseyrail称其遭到Lockbit勒索软件攻击，邮件系统被破坏。Merseyrail是英国的铁路网站，为英格兰利物浦市地域的68个车站提供火车服务。攻击者于4月18日宣布邮件，见告该公司有关此次的攻击事件，并声称其已窃取了员工和客户的信息。同时，该邮件也被发送给了英国的几家报社和Merseyrail的员工，以向公司施加压力，迫使其支付赎金。Merseyrail已上报给英国政府，并正在执法部门的协助下对该事件展开视察。

原文链接：

https://news-block.com/uks-merseyrail-rail-network-likely-to-be-hit-by-lockbit-ransomware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究