Stacked VLAN中的4个可导致DoS和MiTM攻击的漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Stacked VLAN中的4个可导致DoS和MiTM攻击的漏洞

宣布时间 2022-09-30

1、Stacked VLAN中的4个可导致DoS和MiTM攻击的漏洞

据媒体9月28日报道，Stacked VLAN以太网功效中的4个漏洞可被用来通过定制的数据包对目标执行拒绝服务(DoS)或中间人(MitM)攻击。Stacked VLAN是现代路由器和交换机中的一项功效，允许公司将多个VLAN ID封装到与上游提供商共享的单个VLAN连接中。这些漏洞存在于允许VLAN标头堆叠的以太网封装协议中，分别为CVE-2021-27853、CVE-2021-27854、CVE-2021-27861和CVE-2021-2786，未经身份验证的相邻攻击者可以使用VLAN和LLC/SNAP标头的组合来绕过L2网络过滤�；�，例如IPv6 RA防护、动态ARP检查和DHCP侦听等。

https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/

2、攻击者利用Quantum Builder来分发Agent Tesla

Zscaler在9月27日披露了攻击者利用Quantum Builder分发远程访问木马Agent Tesla的活动。Quantum Builder是一种可定制的工具，在暗网以每月189欧元的价格出售，可用于生成恶意快捷方式文件以及HTA、ISO和PowerShell payload。攻击使用的钓鱼邮件声称是来自中国块糖和冰糖供应商的订单确认信息，其中的LNK文件伪装成PDF文档。执行LNK后，嵌入式PowerShell代码会生成MSHTA，然后执行托管在远程服务器上的HTA文件，最终下载并执行Agent Tesla二进制文件。

https://www.zscaler.com/blogs/security-research/agent-tesla-rat-delivered-quantum-builder-new-ttps

3、Securonix发现主要针对军事承包商的新一轮攻击活动

据9月28日报道，Securonix的研究人员发现了主要针对加入武器制造的多家军事承包商的新活动，其中可能包罗F-35 Lightning II战斗机零件供应商。该活动始于2022年夏末，利用了鱼叉式网络钓鱼作为初始熏染媒介。邮件中包罗一个快捷文件在执行时会连接到C2，并启动一连串的PowerShell脚本。有趣的是，这个快捷文件没有使用常用的cmd.exe或powershell.exe，而是依赖于C:\Windows\System32\ForFiles.exe命令来执行。此外，该活动的C2基础设施的域于2022年7月注册并托管在DigitalOcean上。

https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/

4、Witchetty利用隐写术将后门隐藏在Windows图标中

Symantec于9月29日称其发现了Witchetty利用隐写术将后门恶意软件隐藏在Windows图标中。研究人员透露他们正在视察一起新的间谍活动，该活动开始于2022年2月，针对中东的两个政府机构和非洲的一家证券交易所，目前仍在进行中。攻击者首先利用ProxyShell和ProxyLogon漏洞，在目标服务器上下载webshell，然后获取隐藏在图像文件中的后门。虽然该团伙仍在使用LookBack后门，但似乎已添加了几个新的恶意软件，如Backdoor.Stegmap，它利用隐写术从位图图像中提取其payload。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage

5、Kaspersky宣布关于Prilex的攻击活动的分析陈诉

9月28日，Kaspersky宣布了关于巴西黑客团伙Prilex的攻击的分析陈诉。该团伙自2014年开始活跃，在2016年决定放弃ATM恶意软件，将所有攻击集中在PoS系统上。Prilex的最新版本在攻击方式上与之前版本存在某些差异，即该团伙已从重放攻击转变为使用GHOST交易，该技术在店内支付过程中使用目标卡生成的密码非法兑现资金。Prilex对信用卡和借记卡交易以及用于支付处置的软件的事情原理非常熟练，因此可以不停更新工具，并找到绕过授权计谋的要领，从而执行攻击。

https://securelist.com/prilex-atm-pos-malware-evolution/107551/

6、Lumen宣布基于Go的恶意软件Chaos的技术分析陈诉

9月28日，Lumen宣布了基于Go的恶意软件Chaos的技术分析陈诉。近几个月来，Chaos的数量迅速增长，旨在将种种Windows和Linux设备、SOHO路由器和企业服务器等诱入僵尸网络。Chaos的功效包罗枚举主机环境、运行远程shell命令、加载附加�？椤⑼ü匀『捅┝ζ平釹SH私钥自动流传以及执行DDoS攻击。Chaos似乎正在使用另一个僵尸网络Kaiji的构建块和功效，研究人员凭据对100多个样本中的功效分析，推测Chaos是Kaiji的下一次迭代。

https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究