每日安全简讯(20190621)
1 海莲花组织使用新技术攻击越南某环保组织奇安信红雨滴团队近日发现一起针对越南攻击,该活动主要针对一名越南环保人士。攻击投放样本为越南语诱饵的zip压缩包,其包含的图片与名称都与环保相关,符合攻击环保组织负责人的场景。攻击活动中的恶意代码具有多种特点:1、在hta脚本末插入加密后的附加数据,避免多文件的形式存在。2、释放的文件根据电脑上的文件名和文件描述随机命名文件名和目录名,避免被溯源取证人员轻松取到样本和轻松下规则。3、白利用方式仅选择其中的一个dll文件,并用垃圾代码填充exe的入口内存空间再做函数跳转从而避免栈回溯。4、文件体积膨胀,以避免样本上传。
https://mp.weixin.qq.com/s/rgL0_E8bQPhb9OUkbZbs8A
2 攻击者针对日本利用URLZone分发Ursnif
自2019年初以来,Proofpoint研究人员追踪到针对日本的数十次攻击活动。这些活动大规模的发送银行木马、网络钓鱼攻击、冒名顶替攻击和垃圾邮件,已影响了数千个日本组织。攻击者分发的电子邮件主题主要为发票或付款,包含带有宏的恶意Microsoft Excel文档,用户启用后会安装银行木马URLZone,URLZone似乎为初始有效载荷。一旦URLZone确定主机环境合适,将安装Ursnif银行木马,窃取信息。幕后攻击者似乎主要在日本和意大利运营,经常使用将恶意代码嵌入图像文件中颜色数据的“最低有效位” 的隐写技术。研究人员还观察到针对日本的Emotet木马活动、TA505分发FlawedAmmyy的活动、LINE凭证网络钓鱼活动和通过冒名顶替的BEC攻击。
https://www.proofpoint.com/us/threat-insight/post/urlzone-top-malware-japan-while-emotet-and-line-phishing-round-out-landscape-0
3 虚假DHL邮件针对中文用户传播Nanocore
研究人员发现使用虚假DHL物流通知的电子邮件传播Nanocore RAT的攻击活动。该电子邮件发送者不是DHL,而是一个建立电子商务网站的网站。邮件内容使用中文,疑似针对中文用户,附件显示为ZIP附件,实际为EXE文件,运行后将投送恶意软件Nanocore RAT。
https://myonlinesecurity.co.uk/nanocore-rat-via-fake-dhl-failed-delivery-in-chinese/
4 大规模钓鱼活动针对德国多行业安装Remcos
Check Point的研究人员在6月初发现针对德国所有行业公司的新大规模网络钓鱼活动,目标是在受害者计算机上安装远控工具Remcos。电子邮件伪装成来自德国各地的几家合法公司,包含主题为发票或紧急订单附件,扩展名为“,PDF”,实际为可执行文件,运行后Remcos将静默执行并允许攻击者完全控制受害者的计算机。攻击者使用DDNS(动态DNS)掩盖与C2的通信。
https://blog.checkpoint.com/2019/06/19/sandblast-agent-phishing-germany-campaign-security-hack-ransomware/
5 新挖矿僵尸网络利用ADB端口和SSH传播
趋势科技研究人员发现新挖矿僵尸网络,利用在默认情况下没有身份验证的开放ADB(安卓系统调试桥)端口来进入设备,通过SSH进行传播。攻击首先使用ADB命令shell将攻击系统工作目录更改为tmp。然后僵尸网络将确定进入的系统类型以及是否是蜜罐。最后使用wget或curl下载有效载荷,并更改载荷的权限设置,有三种挖矿恶意软件供选择。研究人员目前已在21个不同的国家或地区检测到该僵尸网络的活动,其中在韩国占比最高。
https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-mining-botnet-arrives-through-adb-and-spreads-through-ssh/
6 黑客通过移动应用执行恶意订阅窃取用户资金
卡巴斯基研究人员最近在应用市场上发现了与执行恶意订阅活动直接相关的应用程序。具体包括带有有限功能的普通照片编辑器,应用程序要求访问Wi-Fi控制,通过反复询问用户,直到用户点击同意按钮。当用户试图美化照片时,应用程序会在后台收集设备和网络运营商的信息,并将其发送到服务器。此时应用程序将接受一组链接,将用户多次重定向到恶意订阅页面,并且会将其加载到用户看不到的窗口中。然后,应用程序解密存储的Java helper脚本,并执行所需的操作激活订阅,以窃取用户资金。
https://securelist.com/mobile-subscriptions/91211/
页:
[1]