1 安全厂商怀疑RASPITE组织企图发动停电攻击
Dragos确定了一个新的活动组织RASPITE,通过对战术、技术和程序(TTPs)的分析表明,该组织从2017年中起一直处于某种形式的活跃状态。RASPITE的目标为美国、中东、欧洲和东亚的实体。目前,针对电力公司的行动似乎仅限于美国。虽然是专注于ICS运营实体,但迄今尚未展示出特定于ICS的功能。虽然当前该组织还未刻意表现出入侵ICS工控系统、并进行破坏的能力。但是其最近的一些活动目标选择以及方法论的使用昭示着该组织正在为其后续动作做准备,那就是其准备实质性攻击ICS工控系统,并期望造成类似导致乌克兰停电事故的“安全事件”。Dragos称该组织可以映射到赛门铁克最近发布关于在中东活动的报告中所涉及的LeafMiner的组织。
https://www.dragos.com/blog/20180802Raspite.html
2 研究机构发布安卓恶意软件HeroRAT分析报告
安全公司ESET的研究人员在今年6月首次发现名为HeroRAT的新系列Android远程管理工具(RAT),利用Telegram BOT API与攻击者进行通信。近日CSE发布了关于HeroRAT的研究报告。HeroRAT在伊朗非常活跃,通过第三方应用程序商店与污染的社交媒体和消息应用程序传播。专家推测HeroRAT借用了2018年3月黑客社区中出现的恶意软件的源代码,并具有与IRRAT和TeleRAT不同的一些特征,其中一个特点是使用Xamarin框架和TeleSharp库来开发RAT。HeroRAT在即时通讯Telegram软件的专门频道售卖,提供三种不同功能的版本,价格也不同:从低到高,分别为25,50和100(单位:美元)。
https://securityaffairs.co/wordp ... t-rat-analysis.html
Analyzing the Telegram based Android.pdf
(971.07 KB, 下载次数: 34)
3 勒索软件袭击中国香港卫生部锁定部分数据
继新加坡卫生局的150万人的健康记录被窃取之后,近日中国香港卫生署成为网络攻击的最新受害者,位于感染控制处,临床遗传服务和药物办公室的三台计算机遭遇勒索软件袭击,导致数据无法访问,部门发言人称这些计算机不包含任何机密的个人信息,也没有泄露任何数据,并联系了用于解密密钥的电子邮件地址,但没有要求支付赎金。警方称用户可以打开机器但无法访问加密的某些文件,相信此次袭击背后的动机是对金钱的需求。警方仍在调查并建议用户使用电脑时应避免访问或下载可疑网站上的任何文件,不应打开可疑的电子邮件、附件或超链接。最近几个月,中国香港发生了几起重大黑客案件,包括未经授权访问38万名香港宽频网络客户的个人资料和超过40,000张信用卡的详情、两家当地旅行社电脑中客户个人信息被袭击以勒索赎金 、旅行社WWPKG Holdings中包含身份证号码和20万客户的信用卡信息的客户数据库被入侵。
https://www.scmp.com/news/hong-k ... ata-hack-hong-kongs
4 VT平台出现大量自动变形提交的MacOS样本
目前一些黑客通过上传自己的恶意软件来查看是否被检测到来利用VirusTotal等服务。最近SentinelOne的研究人员注意到上半年中,在VirusTotal上被引用异常的MacOS恶意软件感染的数据,FlashBack和MaControl是目前MacOS平台上最普遍的威胁。通过进一步分析,发现以上两种的相同样本在同一天内的重复时间戳中多次被提交,与原始MaControl样本进行比较,发现新上传样本的二进制文件末尾的填充是不同的,FlashBack与MaControl相似的都有多个“H”字符串的形式,字符串的主体似乎表明不同版本的Windows和字符串的结尾,结果是包含了Unix时间戳。VirusTotal中添加了超过10000个包含“H”字符串的FlashBack,并且仅在7月,1000多的变异的MaControl也被提交。目前尚不清楚是谁上传这些变体,但对于未受保护的Mac用户,Apple的内置安全工具将无法检测到这些样本。SentinelOne研究人员将会继续研究与报道。
https://www.sentinelone.com/blog ... fecting-virustotal/
5 研究者发现被嵌入GIF动画尾部的PE恶意软件
安全研究人员最近发现了一种通过发送恶意垃圾邮件推动使用恶意软件的新手段,将Agent Tesla的二进制文件隐藏在一个gif动画中。具体实现过程为将虚假DHL电子邮件进行大规模分发,点击内含恶意链接将返回一个Arrival Notification.exe文件,将自身复制到用户的AppData\Roaming目录,通过Windows Startup文件夹中的脚本文件保持持久性。网络流量由来自电子邮件的URL组成,它被重定向到一个不同的URL来交付zip归档,之后对mydocuments1.is的HTTP请求,返回一个gif动画,gif的末尾包含Windows EXE和Windows DLL两个恶意软件二进制文件。研究人员这种手段称这种是手段是为了逃避监测,文章发布时gif在VirusTotal中显示检测率为3/58。
https://isc.sans.edu/forums/diar ... animated+gif/23944/
6 Drupal Core使用的第三方组件被发现安全漏洞
8月3日,Drupal网站使用的Symfony HttpFoundation组件中的漏洞被追踪为CVE-2018-14773,该漏洞可被攻击者利用来完全控制受影响的Drupal网站。Symfony HttpFoundation组件是Drupal Core中使用的第三方库。造成该漏洞是由于Symfony支持遗留和危险的HTTP标头的缺陷,远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷,该缺陷会影响8.5.6之前的Drupal 8.x版本,且Symfony是许多项目正在使用的Web应用程序框架,这意味着CVE-2018-14773漏洞可能会影响大量Web应用程序。Drupal维护者也发现Drupal Core中使用的Zend Feed和Diactoros库也受到URL重写漏洞的影响,将不使用易受攻击的功能。Symfony发布的安全公告称版本2.7.49、2.8.44、3.3.18、3.4.14、4.0.14和4.1.3已经解决了此漏洞。
https://securityaffairs.co/wordp ... 3-symfony-flaw.html
|
发表于 2018-8-3 20:22
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡