每日安全简讯(20190716)
1 Turla组织创建新攻击工具TopinambourTurla组织仍然沿用以前的编码风格,但创建了新攻击工具Topinambour及其相关模块,并用于2019年针对政府实体的攻击中。攻击者利用受Topinambour投放器感染的合法软件安装程序(Softether VPN 4.12、psiphon3或Microsoft Office“激活器”)逃避检测。投放器包含一个微小的.NET shell,等待来自攻击者的Windows shell命令。下载的KopiLuwak脚本从Windows注册表中获取二进制文件并运行,目前还不完全清楚如何创建注册表项,但是攻击者通常会使用.NET初始感染。.NET RocketMan木马从前一个阶段保存的注册表中读取C2 IP和端口和处理来自C2的命令。PowerShell MiamiBeach木马包含大约450个字符串,并使用“TimesNewRoman”作为RC4初始向量来加密C2通信。
https://securelist.com/turla-renews-its-arsenal-with-topinambour/91687/
2 黑客利用DeepNude传播Qulab恶意软件
黑客利用DeepNude应用程序诱使用户安装Qulab恶意软件,以窃取系统和剪贴板中的信息。DeepNude开发人员于6月27日宣布该项目结束,应用程序不再可从官方渠道下载。黑客在YouTube上传有关应用程序的短视频,并在说明中提供下载链接。该活动在一周前开始,链接到说明文件的最新视频于周三上传,有近1,000次观看。
https://www.bleepingcomputer.com/news/security/fake-deepnude-downloads-gives-you-malware-instead-of-nudes/
3 拉波特县因勒索软件支付13万美元赎金
美国印第安纳州拉波特县7月6日发现了Ryuk勒索软件攻击,立刻采取措施将感染控制在7%的笔记本电脑,但仍然有两个域控制器受到影响,导致网络服务无法使用。经过尝试发现无法恢复加密文件之后该县最终支付了价值3万美元的比特币,其中10万美元由保险支付。
https://www.bleepingcomputer.com/news/security/la-porte-county-pays-130-000-ransom-to-ryuk-ransomware/
4 安全厂商发布Ims00rry勒索软件解密工具
Emsisoft安全专家发布了Ims00rry勒索软件免费解密工具。Ims00rry勒索软件使用AES-128算法进行加密,与大多数勒索软件不同,Ims00rry不会对加密文件的文件名附加扩展名。而是在文件内容之前添加“ - shlanganAES-256-“文本。恶意软件的作者索要价值50美元的比特币,要求受害者通过Telegram帐户@ Ims00rybot与其联系。受感染用户目前可以下载解密工具免费解密文件。
https://securityaffairs.co/wordpress/88376/malware/ims00rry-ransomware-decryptor.html
5 Instagram修补密码恢复机制中关键漏洞
Instagram中存在关键漏洞可能允许远程攻击者重置任何Instagram帐户的密码并完全控制账户,研究人员表示漏洞存在于Instagram移动版实施的密码恢复机制中。“密码重置”或“密码恢复”功能允许用户在忘记密码的情况下重新访问网站上的帐户。在Instagram上,用户必须确认发送到其关联的手机号码或电子邮件帐户的六位数密码(10分钟内有效)才能证明其身份。通过发送来自不同IP地址的强力请求并利用竞争条件,发送并发请求以同时处理多个尝试,可以绕过避免暴力破解的速率限制。研究人员发布了针对该漏洞的概念验证漏洞,该漏洞已由Instagram修补。
https://thehackernews.com/2019/07/hack-instagram-accounts.html
6 Northwood受黑客入侵可能导致数据泄露
Northwood于2019年 5月6日发现有黑客获得了对员工电子邮件帐户的访问权,立即展开了调查。由于Northwood无法确定未经授权的演员可能已打开或查看过该帐户中的哪些电子邮件,因此他们审核了整个电子邮件帐户的内容,受影响的电子邮件帐户包含与 Northwood提供或管理的持久医疗设备的某些个人相关的信息,包括:姓名、地址、出生日期、日期服务、提供者姓名、医疗记录编号、患者识别号码、医疗设备描述、诊断、诊断代码、治疗信息、会员健康计划标识以及部分社会安全号码和驾驶执照号。Northwood将受影响的电子邮件帐户脱机并更改了帐户密码并强制所有员工重置电子邮件帐户密码。
https://markets.businessinsider.com/news/stocks/northwood-inc-provides-notice-of-data-security-incident-1028350074
页:
[1]