每日安全简讯(20190714)
1 针对土耳其的垃圾邮件活动使用Excel公式注入技术SophosLabs发现针对土耳其大型组织的大量恶意垃圾邮件攻击,攻击者使用Excel公式注入技术投递有效载荷。网络钓鱼邮件具有相似的消息内容和相同的结构,恶意附件会下载有效载荷。研究人员发现了几种不同的执行下载的方法,第一种是使用POWERSHELL下载程序注入EXCEL公式。第二种是利用带有嵌入式EXCEL POWERSHELL下载程序的WORD文档,第三种是使用带有嵌入式EXCEL BITSADMIN下载程序的WORD文档,第四种是通过使用DDE命令的WORD文档。攻击目标主要是土耳其企业,涉及所有工业部门,邮件内容都包含土耳其文本,但也包含针对其他国家企业的文本。
https://news.sophos.com/en-us/2019/07/11/oto-gonderici-excel-formula-injections-target-turkish-victims/
2 16Shop网络钓鱼工具包针对亚马逊客户收集信息
16Shop是一种网络钓鱼工具包,自2018年11月以来一直通过恶意电子邮件向Apple用户发送。电子邮件包含pdf文件,用户点击文件中的链接时会被重定向到钓鱼网站,欺骗用户更新帐户信息,包括信用卡详细信息。网络钓鱼工具包源自印度尼西亚,代码包含多种语言。迈克菲研究人员于2019年5月注意到该工具的一个新应用,目标是亚马逊用户。研究人员观察到了超过200个服务于此网络钓鱼工具包的恶意URL,表明该网络钓鱼工具包被广泛使用。
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/16shop-now-targets-amazon/
3 DoppelPaymer和BitPaymer勒索软件存在重叠
CrowdStrike自2017年8月首次发现以来一直跟踪BitPaymer勒索软件,最初BitPaymer勒索信包括赎金需求和基于TOR的支付门户网站的URL。2018年7月至今,勒索信只包括两个联系电子邮件。DoppelPaymer勒索软件活动可追溯到2019年4月,其勒索信与BitPaymer在2018年使用的相似,但不包括赎金金额。DoppelPaymer的支付门户网站几乎与最初的BitPaymer相同,使用的TTP与BitPaymer的先前TTP之间也存在明显的相似之处。DoppelPaymer对BitPaymer源代码进行了大量修改以增加其功能,最突出的功能是可以在终止影响其加密文件的进程。目前BitPaymer和DoppelPaymer正在分别感染用户。
https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/
4 TrickBot新增窃取模块收集2.5亿个电子邮件地址
TrickBot是一个窃取金融数据的恶意软件家族,研究人员发现一个新变体,广泛使用已签名的恶意软件二进制文件,不仅新增cookie窃取模块还增加了一个基于恶意电子邮件的感染和分发模块,该模块用于从受害者的地址簿、收件箱、发件箱中收集电子邮件凭据和联系人,然后从受害者的受感染帐户发送恶意垃圾邮件,最后从发件箱和垃圾箱文件夹中删除已发送的邮件。
https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/
5 研究人员发布Loocipher勒索软件免费解密工具
Yoroi-Cybaze ZLab研究人员发布了Loocipher勒索软件的免费解密工具。根据Fortinet的说法,LooCipher勒索软件使用的加密算法是带有16字节密钥的AES-128 ECB。密钥以随机方式生成,从预定义字符数组开始。由于AES是对称密钥算法,因此检索密钥可以恢复所有加密文件。密钥将作为GET参数通过HTTP发送到C2,密钥是混淆的,但混淆方法非常简单,可以通过两种方式解混淆。研究人员发布的自动工具,能够提取密钥并解密之前由LooCipher勒索软件加密的所有文件。该工具只在LooCipher进程处于活动状态时有效。如果进程被终止或PC重新启动,由于包含密钥的进程内存被重置,该工具则不能提取密钥。
https://securityaffairs.co/wordpress/88310/malware/loocipher-ransomware-decryptor.html
6 Jira服务和数据中心发布更新修补程序严重漏洞
Atlassian修补了自2011年夏季以来发布的影响Jira Server和Data Center版本的关键漏洞。漏洞编号为CVE-2019-11581,当Jira配置了SMTP服务并且连接管理员模式打开时,攻击者无需进行身份验证就可以利用漏洞,可能导致任意代码执行以及应用程序数据和功能的完全损害。如果攻击者获得了JIRA 管理员权限,也可以利用该漏洞。Atlassian已发布了新版本, 用户还可以通过禁用联系人管理员表单和阻止访问“/secure/admin/SendBulkMail!default.jspa”端点解决。
https://www.bleepingcomputer.com/news/security/jira-server-and-data-center-update-patches-critical-vulnerability/
页:
[1]