每日安全简讯(20190629)
1 安天发布勒索软件Sodinokibi运营组织的关联分析2019年5月,安天CERT监测到了多起利用钓鱼邮件传播Sodinokibi勒索软件的事件。安天CERT分析人员通过代码、C2、邮件、漏洞利用等关联分析认为该勒索软件团伙是一个不断套用、利用其他现有恶意工具作为攻击载体,传播勒索软件、挖矿木马、窃密程序,并在全球范围内实施普遍性、非针对性勒索、挖矿、窃密行为的具有一定规模的黑产组织。该组织和GandCrab组织有着千丝万缕的关系,分析人员猜测Sodinokibi和GandCrab运营成员有重合部分,在GandCrab组织宣布停止运营之后,部分GandCrab成员不愿收手,继续运营新修改的勒索软件Sodinokibi。经验证,安天智甲终端防御系统(英文简称IEP)可实现对Sodinokibi的有效防御。
https://www.antiy.com/response/20190628.html
2 “五眼联盟”在俄罗斯搜索引擎Yandex植入Regin
路透社报道,西方情报机构“五眼联盟”在2018年10月和11月期间,曾在俄罗斯的搜索引擎Yandex植入恶意软件Regin,来监控用户账户活动。 Regin恶意软件在2014年爱德华·斯诺登披露美国国家安全局(NSA)黑客工具时被曝光,被认定为由美国、英国、澳大利亚、新西兰和加拿大组成的“五眼联盟”使用。知情人士表示黑客攻击的目的是进行间谍活动,而不是破坏或窃取知识产权。黑客秘密地保持了至少几周对Yandex的访问而没有被发现,并且似乎寻找可以解释Yandex如何验证用户帐户的技术信息,以帮助间谍机构冒充Yandex用户并访问其私人消息。Yandex发言人已确认了该攻击事件,但没有透露任何细节。
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX
3 研究人员披露漏洞利用工具包Spelevo的活动细节
思科Talos发布了新漏洞利用工具包Spelevo的活动细节。攻击者在被入侵的B2B网站中,植入恶意脚本,利用Adobe Flash 0day漏洞CVE-2018-15982和 IE VBScript引擎中漏洞CVE-2018-8174,投送有效载荷。此时用户将被重定向到谷歌,用户首先将看到一个打开的选项卡,该选项卡加载门,然后是漏洞利用的登录页面,最后到谷歌,这可能会导致用户忽略已经被攻击的事实,并认为正在打开一个正常的web页面。
https://blog.talosintelligence.com/2019/06/spelevo-exploit-kit.html#more
4 ShadowGate活动使用漏洞利用工具包攻击全球
趋势科技研究人员在6月发现ShadowGate活动利用广告服务进行攻击。此次攻击活动针对全球用户,用户访问嵌入恶意广告的网站,其来自受感染的广告服务,将被重定向到Greenflash Sundown漏洞利用工具包,并感染门罗币挖矿恶意软件。研究人员还发现新版本的Greenflash Sundown漏洞利用工具包,其使用集成公钥加密算法进行自我保护,还具有更新的PowerShell加载程序。
https://blog.trendmicro.com/trendlabs-security-intelligence/shadowgate-returns-to-worldwide-operations-with-evolved-greenflash-sundown-exploit-kit/
5 Fake jquery恶意软件针对移动用户进行广告活动
Malwarebytes研究人员近日发现名为“fake jquery”的恶意软件活动使用了新域名,成千上万个受影响的网站被注入了对一个名为jquery.js的外部JavaScript的引用。恶意JavaScript是空白的,其实际进行一个恶意重定向,欺骗移动用户安装恶意应用程序,最终通过定期在受害者手机上弹出的全屏广告以获利。
https://blog.malwarebytes.com/threat-analysis/2019/06/fake-jquery-campaign-leads-to-malvertising-and-ad-fraud-schemes/
6 研究人员发现信息窃取程序banload的攻击活动
研究人员发现了一个钓鱼邮件,其附带链接可从远程下载tax.zip文件,zip文件包含正版Google更新程序和一个bat文件,该文件从远程下载powershell脚本,然后下载包含真正的自动工具文件和恶意文件的zip文件。此时将关闭用户计算机,重启后将释放另一个powershell脚本,其为信息窃取程序banload,并将窃取数据上传至远程服务器。
https://myonlinesecurity.co.uk/banload-and-stealer/
页:
[1]