Regsrvr32 (LOLBin) utnyttes til å spre trojanere og intern forflytning i nett. FritzFrog SSH-botnet har tatt over mer enn 1500 enheter. Apple oppdaterer zero-day svakhet som allerede utnyttes for å hacke iPhone, iPad og Mac.
Regsrvr32 (LOLBin) utnyttes til å spre trojanere og intern forflytning i nett
| Regsrv32 er ett CLI-verktøy som brukes til å registrere og avregistrere biblioteker. Når man registrere en DLL-fil med regsrv32, legger man til informasjon i registeret slik at filen kan brukes av andre Windows-programmer. Angripere kand dermed bruke regsrvr32 til å laste COM-skript for å eksekvere DLLer. Dermed blir ikke COM-objektet registrert, men det blir eksekvert. En grundigere gjennomgang av teknikken er skrevet av Uptycs. Det har også vært en oppgang i registrering av .OCX filer ved hjelp av skadlige Microsoft Office dokumenter med makroer. Så langt har Uptycs sett mer enn 500 skadevare-eksemplarer som har brukt Regsrvr32.exe til å registrere .OCX-filer. Flere av disse tilhørte skadevarefamilien Qbot og Lokibot. For å oppdage om noen forsøker å utnytte Regsrvr32 kan man se på om foreldre-prosessen til Regsrvr32 er Microsoft Office, eller om den prøver å laste scrobj.ddl. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://threatpost.com/cybercriminals-windows[...] https://www.uptycs.com/blog/attackers-increas[...] |
FritzFrog SSH-botnet har tatt over mer enn 1500 enheter
| FritzFrog angriper tilnærmet alt som benytter seg av SSH. Det ble først oppdaget av Akamai labs i midten av 2020, da det hadde tatt over mer enn 500 enheter. Botnettet er desentralisert og benytter seg av peer to peer arkitektur, som gjør det vanskelig å oppdage og stenge ned. Den har også en del avanserte teknikker for å angripe målene sine. Angrepsteknikken til FritzFrog går ut på å scanne nettverk for SSH-tjenere, deretter brute-force angripe dem for å få initiell tilgang. Så blir skadevare installert og tjeneren begynner høre på port 1234. Så begynner scanning etter port 22 og 2222 mot andre IP-adresser. Oppnår den kontakt med andre noder i botnettet, vil de utveksle data og sørge for at de begge benytter seg av den nyeste versjonen av skadevaren og dens database. Den nyeste teknikken som blir brukt er å proxye SSH over Tor-nettverket for å maskere kilden til forbindelsen. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://arstechnica.com/information-technolog[...] |
Apple oppdaterer zero-day svakhet som allerede utnyttes for å hacke iPhone, iPad og Mac
| Apple har gitt ut sikkerhetsoppdateringer som fikser en ny nulldagssårbarhet i Safari som gjelder iPhone, iPad og Mac. Sårbarheten har blitt observert i aktiv utnyttelse av angripere. Svakheten er av typen "user after free" og har fått ID CVE-2022-22620. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] https://support.apple.com/en-us/HT213093 https://support.apple.com/en-us/HT213092 |