设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20180714)
返回列表 发新帖

每日安全简讯(20180714)

[复制链接]
发表于 2018-7-13 20:06 | 显示全部楼层 |阅读模式
1 乌克兰氯气蒸馏站设备受到VPNFilter攻击

乌克兰国家安全局(SBU)发现其供应水处理和污水处理厂的氯站的网络设备上被装载了VPNFilter恶意软件并关闭了处理厂。VPNFilter是一个隐秘的模块化攻击平台,包括三个阶段的恶意软件。第一个阶段在设备中建立立足点,不能通过重启来杀死;第二个阶段进行网络间谍活动,窃取文件、数据以及自毁功能;第三阶段包括多个模块,包括用于获取网站凭证和Modbus SCADA协议的封隔器嗅探器。乌克兰是最初在受感染的物联网设备上发现的首批目标之一,FBI在发现后几天就接管了最初的VPNFilter僵尸网络命令和控制服务器,但是APT28 在一周后开始建立一个新的子网。据联邦调查局的说法团队为俄罗斯军事情报部门相关人员。
 2.png

https://www.bleepingcomputer.com ... stillation-station/

2 黑客在软件包中插入恶意代码窃取npm凭据

7月11日至12日的夜晚,黑客访问了开发人员的npm帐户,并将恶意代码注入了一个流行的JavaScript库,该代码旨在窃取在项目中使用中毒包的用户的npm凭据。解决此漏洞之前,黑客已经获得了大约4,500个帐户的访问令牌,但是没有证据证明黑客在此期间实际获得或用于访问任何npmjs.com帐户的任何令牌。作为一项预防措施,npm已经撤销了今天下午2:30(加利福尼亚时间早上7:30)之前创建的每个访问令牌。要求每个注册的npm用户重新向npmjs.com进行身份验证并生成新的访问令牌,确保漏洞无法持续或传播。这是过去一年中黑客在npm软件包中插入恶意代码的第三起事件。第一起此类事件发生在2017年8月,npm团队删除了38个被感染的JavaScript npm软件包。第二次在2018年5月,黑客试图隐藏另一个名为getcookies的流行npm包中的后门。
 1.png

https://www.bleepingcomputer.com ... ng-npm-credentials/

3 黑客入侵Ammy官网借世界杯隐藏恶意软件

免费远程管理工具Ammy Admin的官方网站已被黑客入侵,以提供合法软件的恶意软件版本。袭击者还试图隐藏2018年在俄罗斯举行的FIFA世界杯背后的邪恶活动。该事件发生在6月13日午夜至6月14日上午,在此时间段内从网站下载软件的用户也可能会收到多用途特洛伊木马和银行恶意软件Win32 / Kasidet以及合法的远程管理软件。恶意软件本身能够窃取可能包含密码或访问加密货币钱包和帐户数据的文件。它会在将受感染的系统发送给攻击者的C&C服务器之前,扫描受感染的系统中的相关文件名和进程。C&C服务器的URL也是以世界杯为主题的,包含短语“fifa2018”。这不是Ammyy Admin第一次成为黑客的受害者。此次事件与2015年10月事件的相似之处是文件名都是Ammyy_Service.exe,包含有效载荷。
 3.jpg

https://cyware.com/news/ammyy-ad ... mokescreen-320756d8

4 思科披露针对印度的高级移动恶意软件活动

思科Talos已经确定了针对13个iPhone手机的高度针对性的攻击活动,这些活动针对于印度,被攻击对象并没有公布。攻击者部署了一个开源移动设备管理(MDM)系统来控制注册设备。MDM旨在在已注册的设备上部署应用程序。攻击者使用BOptions边加载技术向合法应用程序添加功能,包括消息应用程序WhatsApp和Telegram,然后由MDM部署到印度的13个目标设备上。BOptions边加载技术的目的是在应用程序中注入动态库。插入这些应用程序的恶意代码能够收集和泄露设备中的信息。SMS和Telegram以及WhatsApp聊天消息。此类信息可用于操纵受害者甚至将其用于勒索或贿赂。该攻击事件是高度定向的攻击,攻击者从印度发起攻击,但是却伪装成从俄罗斯发动。
 MDM-India.png

https://blog.talosintelligence.c ... -Malicious-MDM.html

5 研究者发现黑客滥用Windows数字签名证书

来自捷克共和国马萨里克大学和马里兰州网络安全中心(MCC)的研究人员监测了可疑组织,确定了四个向匿名买家出售Microsoft Authenticode证书的人。研究人员对Windows代码签名证书生态系统的测量显示出了各种形式的滥用行为,这些滥用行为允许恶意软件作者生成携带有效数字签名的恶意代码。研究人员还发现了几个可能有害的程序(PUP)案例,揭示了这些程序以及他们签署恶意代码的能力。黑客还能够控制一系列Authenticode证书。如果攻击者可以使用受信任的签名证书来安装恶意软件,那么恶意软件将使用授予该用户的访问权限或以NTLM哈希形式留下的访问权限来进一步渗透网络。许多组织正在迅速扩大其对代码签名证书的使用。
 5.jpg

https://www.infosecurity-magazin ... ware-carries-valid/

6 QNAP宣布修补了Web控制台的高严重性漏洞

今年三月CoreSecurity公司发现台湾网络存储供应商QNAP的Web控制台中发现了五个漏洞(CVE-2018-0706~CVE-2018-0710),包括1个提权漏洞和4个远程执行漏洞,并通知了QNAP公司。研究人员在应用程序的API端点中发现了权限升级缺陷(CVE-2018-0706),该端点用于返回有关数据库中定义的帐户的信息。四个命令执行漏洞可以使攻击者能够在密码输入中注入命令。其中一个命令执行漏洞(CVE-2018-0707)使黑客能够为管理用户调整“更改密码”功能。此配置文件还能够通过SSH设置配置更新中的命令执行错误(CVE-2018-0710)修改SSH配置; 修改网络配置(CVE-2018-0708)并修改日期配置(CVE-2018-0709)。QNAP在7月11日发布安全公告表示已修复Q'center Virtual Appliance 1.7.1083及更高版本中的问题,并敦促客户更新到最新版本。同时,CoreSecurity公司公开了漏洞利用的概念验证代码。
 6.jpg

https://threatpost.com/multiple- ... web-console/133884/

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 10:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表