每日安全简讯(20190703)
1 安全厂商发布Ratsnif RAT四种变种分析报告OceanLotus组织使用名为“Ratsnif”的远程访问木马进行网络攻击,Blackberry Cylance威胁研究人员分析了Ratsnif木马的四种变体,其中三个变种的编辑日期是2016年,最新的变种2018年8月出现。最早版本的Ratsnif是一个调试版本,于2016年8月5日编译,其C2也在当天被激活,一天之后出现有微小变化的新版本,两个样本都针对当时VirusTotal服务上存在的防病毒引擎进行了检测。第三个版本不具备最新版本的所有功能,可以设置远程shell并用于ARP投毒(通过Ratsnif路由流量)、DNS欺骗和HTTP重定向。第四个Ratsnif样本不再带有C2服务器列表,引入配置文件并扩展功能集以使其更高效。研究人员发现在解析特定参数时,该版本Ratsnif有一个导致内存读取违规的错误。
https://threatvector.cylance.com/en_us/home/threat-spotlight-ratsnif-new-network-vermin-from-oceanlotus.html
2 新Mac恶意软件伪装成Flash Player安装程序
Intego发现名为OSX / CrescentCore的新Mac恶意软件,该恶意软件是.dmg磁盘映像上的木马应用程序,伪装成Adobe Flash Player安装程序。用户打开虚假应用程序后,木马会检查它是否在虚拟机(VM)内运行,以及受感染主机是否安装了任何Mac反病毒程序。研究人员还发现了OSX / CrescentCore恶意软件的变种。木马安装程序可能会在受害者的计算机上安装流氓软件或恶意Safari浏览器扩展。
https://www.intego.com/mac-security-blog/osx-crescentcore-mac-malware-designed-to-evade-antivirus/
3 新攻击活动使用"天堂之门"技术逃避检测
Cisco Talos研究人员发现一项新攻击活动,投递了HawkEye Reborn键盘记录器、Remcos远程访问木马(RAT)、加密货币挖矿木马等恶意软件,并且使用Heaven's Gate技术来绕过反病毒引擎的检测。攻击者向受害者发送电子邮件,伪装成发票、银行对账单和其他与财务相关的主题。电子邮件通常包含利用CVE-2017-11882的Microsoft Excel电子表格或Microsoft Word文档,打开时会恶意软件下载程序。
https://blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html
4 美佐治亚州法院信息系统受勒索软件攻击
美国佐治亚州法院系统受到勒索软件攻击,法院行政办公室发言人表示并非所有系统都受到影响,法院已经隔离了服务器并关闭了网络,IT部门正在确定严重程度。官员们强调,这些系统中没有存储非公共文件的私人信息,因此不会泄露社会安全号码或其他此类敏感信息。
https://www.11alive.com/article/news/local/georgia-court-system-hit-by-ransomware-attack/85-1c8d8672-b7ed-4c12-a5f4-f4be6a626834
5 182个免费下载应用程序中隐藏广告软件
趋势科技研究人员发现广告软件活动,广告软件伪装成游戏和相机应用程序。在182个隐藏广告软件的应用程序中,有111个可以在Google Play商店中找到。其余应用程序可在托管通用应用程序的第三方商店中找到,包括9Apps和PP Assistant。这些应用由共享代码,因此有相似的行为,其开发人员还使用多种手段躲避检测。目前恶意应用程序已从Google Play平台中删除,在删除之前这些应用程序的总下载量为9,349,000。
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-campaign-identified-from-182-game-and-camera-apps-on-google-play-and-third-party-stores-like-9apps/
6 SICK控制器中硬编码凭据可能导致远程攻击
研究人员发现,由于存在硬编码凭证,攻击者可能重新配置或破坏德国传感器制造商SICK的MSC800模块化系统控制器,该漏洞被追踪为CVE-2019-10979。根据美国国土安全部(DHS),受影响的控制器在全球范围内使用,特别是在关键制造领域。在最近发布的一份咨询报告中,SICK表示没有发现任何利用此漏洞的公开攻击,并建议最大限度地减少设备的网络暴露,限制网络访问并遵循建议的安全实践,以便在受保护的IT环境中运行设备。
https://www.securityweek.com/hardcoded-credentials-expose-sick-controllers-remote-attacks
页:
[1]