每日安全简讯(20210409)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Lazarus使用新后门攻击南非货运物流公司
ESET研究人员发现Lazarus组织使用一个新后门,用于攻击南非的一家货运物流公司。该后门被称为Vyveva,至少从2018年12月开始使用,但初始攻击向量未知。该后门由多个组件组成,并通过Tor网络与其C&C服务器通信,具有文件泄露、修改文件时间戳、收集受害计算机及其驱动器的信息以及其他常见的后门功能,例如运行恶意软件操控者指定的任意代码。
https://www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/
2 Cring勒索软件利用Fortigate VPN漏洞传播
卡巴斯基研究人员在事件调查中发现Cring勒索软件的攻击利用了Fortigate VPN服务器中的一个漏洞(CVE-2018-13379),受害者包括欧洲国家的工业企业。该漏洞用于提取VPN网关的会话文件,会话文件包含有价值的信息,如用户名和明文密码,从而允许攻击者获取对企业网络的访问权限。获取第一个系统的访问权限后,攻击者将Mimikatz下载到该系统,窃取以前登录受感染系统的Windows用户的帐户凭据,包括域管理员帐户。然后使用PowerShell将Cobalt Strike分发到目标网络上的其他系统,以允许攻击者对受感染系统进行远程控制。最终,攻击者下载cmd脚本,该脚本旨在下载和启动Cring勒索软件。
https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
3 REvil更改用户密码以自动登录到安全模式
3月底,安全研究人员发现了一个新版本的REvil勒索软件样本,该样本通过更改用户登录密码,并配置Windows在重新启动时自动登录安全模式以进行加密。在该示例中,当使用-smode参数时,REvil将用户密码更改为DTrump4ever。然后配置注册表值,以便Windows会自动使用新的帐户信息登录。REvil团伙最近还警告称,如果不支付赎金,将对受害者进行DDoS攻击,并向受害者的商业伙伴发送关于被盗数据的电子邮件。
https://www.bleepingcomputer.com/news/security/revil-ransomware-now-changes-password-to-auto-login-in-safe-mode/
4 Android恶意软件利用WhatsApp消息传播
Check Point Research最近在Google Play上发现了隐藏在伪造应用程序中的恶意软件,该恶意软件能够通过用户的WhatsApp消息进行传播。如果用户下载了伪造的应用程序并在不经意间授予了恶意软件适当的权限,则该恶意软件能够自动回复受害者收到的WhatsApp信息,并提供从命令和控制(C&C)服务器接收的有效载荷。
https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/
5 德国Gigaset移动设备存在预安装恶意软件
德国Android移动设备Gigaset存在预安装的恶意软件,其通过程序包名称为com.redstone.ota.ui的系统更新程序安装。对于大多数受感染的用户来说,com.redstone.ota.ui安装了三个版本的恶意软件,恶意软件的程序包名称始终以“com.wagd”开头。恶意软件能够通过WhatsApp发送恶意信息,在默认浏览器中打开新的标签页进入游戏网站,下载更多恶意应用程序,以及其他可能的恶意行为。
https://blog.malwarebytes.com/android/2021/04/pre-installed-auto-installer-threat-found-on-android-mobile-devices-in-germany/
6 攻击者利用最近解决的漏洞攻击SAP系统
Onapsis和SAP发布的一项联合研究中表示,在SAP安全补丁发布后的72小时内,攻击者将企业内部的SAP系统作为攻击目标。攻击者会对SAP补丁进行反向工程,以创建攻击者代码来利用最近解决的漏洞,并使用漏洞来攻击已安装的SAP系统。研究人员发现,攻击者正在积极利用以下SAP漏洞:CVE-2010-5326、CVE-2018-2380、CVE-2016-3976、CVE-2016-9563、CVE-2020-6287、CVE-2020-6207,并建议相关用户即使更新相关安全补丁。
https://securityaffairs.co/wordpress/116431/reports/sap-systems-under-attacks.html
页:
[1]