安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、一种叫SolarMarker的恶意软件使用SEO病毒来使目标感染远程访问木马(6月16日)
研究人员观察到一系列使用SEO病毒来使目标感染远程访问木马 (RAT) 的攻击。该恶意软件被称为SolarMarker,能够通过后门系统窃取敏感信息。它是一种在内存中运行的.NET RAT并且可以在感染木马的设备上投放其他payloads。
详细信息
据微软称,SolarMarker是一种在被感染的系统中建立后门,并窃取Web浏览器凭据的恶意软件。被窃取的数据随后会被泄露到C2服务器。感染后,SolarMarker通过将自身添加到Startup文件夹并更改受害者桌面上的快捷方式来获得持久性。
攻击者使用数以千计的包含SEO关键字和链接的PDF文档来制作陷阱,为了让受害者更容易上钩,攻击者在这些文档中填充了10多页关于多个主题的关键字,从“保险”、“如何加入SQL”、“数学答案”到“接受合同”。一旦受害者发现其中一个恶意制作的PDF并点击它,他们就会被重新定向到恶意软件并感染RAT。
研究人员尚不清楚SolarMarker攻击者背后真正的目的,但根据俄语到英语的拼写错误,研究人员怀疑SolarMarker的开发者和俄罗斯黑客有关。
参考链接:https://cyware.com/news/solarmarker-the-rat-with-a-poisonous-trail-c2a33810
二、Codecove引入了一个新的上传工具来替换和删除引发了最近供应链攻击的Bash脚本(6月14日)
这家位于旧金山的DevOps工具提供商在一篇博客中表示,新的上传工具将作为适用于Windows、Linux、Alpine Linux和macOS的静态二进制可执行文件(static binary executable)提供。
详细信息
上传器的使用方式与现有的Bash上传器相同,用于在开发周期中向产品推送覆盖数据和更新。上传器目前处于Beta阶段,因此尚未完全集成。但Codecov表示“目前使用Bash上传器完成的大多数标准工作流程都可以使用新上传器完成。”
Codecov的Bash上传器是2021年1月31日左右发生的一系列供应链攻击的源头,并于4月15日公开。黑客通过渗透Codecov的网络并劫持Bash上传器,导致用户们不会像Codecov所希望的那样在项目更新期间推送“更健康”的代码,相反,他们在持续集成(CI)环境中存储的信息会被窃取。