每日安全简讯(20210114)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安天发布Incaseformat蠕虫病毒分析报告
2021年1月13日,安天关注到一些网络论坛中有用户遭遇文件被病毒删除现象,联系提取样本后,发现系安天很早可以查杀的“古老”蠕虫家族,该病毒家族俗名incaseformat,是一个较为古老的USB蠕虫家族,安天根据这一类病毒的传播机理,将其系列变种均统一归入Worm/Win32.Autorun。对相关蠕虫家族,安天产品数年前即可防御查杀。安天感知体系捕获该蠕虫的最早家族版本为2009年,该家族存在数百个版本的迭代演进,其中有的版本功能为隐藏用户系统盘外的大部分文件。本次发现的蠕虫病毒版本之所以会在2021年1月13日开始删除文件,是由于时间函数变量值存在编写错误,执行删除文件的操作由2010年4月1日延至2021年1月13日,攻击者原意为在2010年3月后每个月的1号、10号、21号、29号后开始文件删除操作。这种主要通过U盘进行传播的病毒,在缺少有效安全防护软件的政企机构网络中往往反复传播感染。而通过部署安天智甲等有效端点防护能力的主防产品可以很容易感知和拦截。对于遭遇病毒已经发作的情况,安天也提醒用户还有补救的余地,安天CERT经测试发现该蠕虫病毒删除的文件可由数据恢复软件进行恢复。
https://mp.weixin.qq.com/s/M0pxUZ4cK5O3orcsV2I3eQ
2 安全厂商发现SolarWinds攻击中第三种恶意软件
Crowdstrike发现了SolarWinds供应链攻击事件中使用的第三种恶意软件SUNSPOT,其它两个为SUNBURST后门和TEARDROP工具。SUNSPOT用于将SUNBURST后门插入SolarWinds Orion IT管理产品的软件版本中。SUNSPOT监控参与编译Orion产品的运行进程,并替换其中一个源文件以包含SUNBURST后门代码。SUNSPOT中增加了一些保护措施,以防止Orion构建失败,潜在的向SolarWinds开发人员提醒额外代码的存在。
https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
3 研究人员发现使用0day漏洞的水坑攻击活动
Google Project Zero发现了在2020年第一季度中一项使用0day漏洞的水坑攻击活动。安全专家发现两台漏洞利用服务器通过水坑攻击提供不同的漏洞链。一台服务器针对Windows用户,另一台针对Android用户。Windows和Android服务器都使用Chrome漏洞进行初始远程代码执行。Chrome和Windows漏洞为TurboFan的Chrome漏洞CVE-2020-6418、Windows字体漏洞CVE-2020-0938和CVE-2020-1020 、Windows CSRSS漏洞CVE-2020-1027,它们在被利用时间时是0day漏洞。Android漏洞使用了已知的nday漏洞,但根据攻击复杂程度,研究人员认为攻击者有可能访问Android 0day漏洞,但目前在分析中没有发现。
https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html
4 研究人员发现针对巴基斯坦用户的间谍软件
SophosLabs发现了多个针对巴基斯坦用户的Android间谍软件。间谍软件是攻击者对谷歌Play商店中的合法应用程序进行了修改,添加恶意功能以执行秘密监视和间谍活动,其中最受关注的是巴基斯坦政府发行的“巴基斯坦公民门户”(“Pakistan Citizen Portal”)应用程序。修改后的应用程序看上去与合法应用程序相同,可执行其正常功能。首先,恶意应用程序对手机进行配置,以Android Dalvik可执行文件(DEX)文件的形式下载有效载荷。DEX有效负载包含大多数恶意功能,其中包括秘密泄露敏感数据,如用户的联系人列表和短信的全部内容。然后,恶意应用程序将此信息发送到位于东欧服务器上的少数C2网站之一。
https://news.sophos.com/en-us/2021/01/12/new-android-spyware-targets-users-in-pakistan/
5 SolarLeaks网站出售SolarWinds攻击被盗数据
一个名为“SolarLeaks”的网站正在出售声称在SolarWinds攻击中遭到破坏公司的被盗数据。该网站solarleaks.net,正在出售数据声称来自Microsoft、Cisco、FireEye和SolarWinds,包括以60万美元价格出售的Microsoft源代码和存储库、多种Cisco产品的源代码、FireEye红队工具、以25万美元价格出售的SolarWinds源代码和客户门户转储。
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
6 辉瑞和BioNTech COVID-19疫苗数据在线泄露
欧洲药品管理局(EMA)透露,某些辉瑞和BioNTech COVID-19疫苗数据从其服务器上被盗并泄露。2020年12月,EMA曾遭遇网络攻击。EMA发布的最新声明表示,对针对EMA的网络攻击进行调查显示,一些与属于第三方的COVID-19药品和疫苗有关的非法访问文件已经在网上泄露,执法部门正在采取必要的行动。
https://securityaffairs.co/wordpress/113326/data-breach/ema-data-breach.html
页:
[1]