一、一种叫SolarMarker的恶意软件利用SEO病毒来使目标传染远程访问木马(6月16日)
研究职员不雅观察到一系列利用SEO病毒来使目标传染远程访问木马 (RAT) 的攻击。该恶意软件被称为SolarMarker,能够通过后门系统盗取敏感信息。它是一种在内存中运行的.NET RAT并且可以在传染木马的设备上投放其他payloads。
详细信息
据微软称,SolarMarker是一种在被传染的系统中建立后门,并盗取Web浏览器凭据的恶意软件。被盗取的数据随后会被透露到C2做事器。传染后,SolarMarker通过将自身添加到Startup文件夹并变动受害者桌面上的快捷办法来得到持久性。
攻击者利用数以千计的包含SEO关键字和链接的PDF文档来制作陷阱,为了让受害者更随意马虎中计,攻击者在这些文档中添补了10多页关于多个主题的关键字,从“保险”、“如何加入SQL”、“数学答案”到“接管条约”。一旦受害者创造个中一个恶意制作的PDF并点击它,他们就会被重新定向到恶意软件并传染RAT。
研究职员尚不清楚SolarMarker攻击者背后真正的目的,但根据俄语到英语的拼写缺点,研究职员疑惑SolarMarker的开拓者和俄罗斯黑客有关。
参考链接:https://cyware.com/news/solarmarker-the-rat-with-a-poisonous-trail-c2a33810
二、Codecove引入了一个新的上传工具来更换和删除引发了最近供应链攻击的Bash脚本(6月14日)
这家位于旧金山的DevOps工具供应商在一篇博客中表示,新的上传工具将作为适用于Windows、Linux、Alpine Linux和macOS的静态二进制可实行文件(static binary executable)供应。
详细信息
上传器的利用办法与现有的Bash上传器相同,用于在开拓周期中向产品推送覆盖数据和更新。上传器目前处于Beta阶段,因此尚未完备集成。但Codecov表示“目前利用Bash上传器完成的大多数标准事情流程都可以利用新上传器完成。”
Codecov的Bash上传器是2021年1月31日旁边发生的一系列供应链攻击的源头,并于4月15日公开。黑客通过渗透Codecov的网络并挟制Bash上传器,导致用户们不会像Codecov所希望的那样在项目更新期间推送“更康健”的代码,相反,他们在持续集成(CI)环境中存储的信息会被盗取。
参考链接:https://www.zdnet.com/article/codecov-debuts-new-uploader-dismisses-bash-script-as-source-of-supply-chain-attack-risk/?&web_view=true
