1 DarkHydrus组织使用远程模板钓鱼
2018年6月24日,Unit 42发现新威胁组织DarkHydrus对中东的教育机构和政府部门进行攻击,主要采用鱼叉式钓鱼邮件进行各种登录凭证的窃取。该攻击使用项目报价主题的鱼叉式网络钓鱼电子邮件和一个恶意Word文档作为附件,这些文档利用“attachTemplate”技术从远程服务器加载模板。打开附件进行加载此远程模板时,恶意Word文档会显示一个对话框,要求用户提供登录凭据,输入后,这些凭据被发送到C2服务器,这允许DarkHydrus收集用户帐户凭证。DarkHydrus使用类似于合法电子邮件服务outlook.com域名0utl00k[.]net作为掩饰,使用户习惯性地键入他们的Windows凭证。通过此域名找到了另外两个获取凭证Word文档。Unit 42对三个恶意Word文档进行分析,确定其中两个文档是使用名为Phishery的开源工具所创建,Phishery具有以下功能:通过注入远程模板URL来创建恶意Word文档;在尝试获取远程模板时,托管C2服务器以收集输入到身份验证对话框中的凭据。Phishery的使用进一步表明Dark Hydrus依赖开源工具来开展业务。
https://researchcenter.paloalton ... ntials-middle-east/
2 安全厂商揭露黑客攻击工控设施手段
8月7日,以色列安全公司Cybereason发布了其“蜜罐项目”的报告,说明黑客们用以攻击机构的方法和工具。Cybereason构造了一个知名的大型电力提供商(并为英国和美国客户提供服务)的蜜罐,不到两天就被黑客发现,他们在暗网准备了资产,并向其他关注工控系统环境的犯罪团伙出售。购买者显示出不同于以往的国家行为体(即APT)的网络行为,他们动作迅速,显示出对ICS环境、公共设施通常采用的安全手段非常熟悉,并且知道如何从IT环境进入 OT(运作技术)环境。这些攻击者的最终目标是到达OT环境,因为他们并没有出售被入侵网络的进入方法,或者运行僵尸网挖矿、发送垃圾邮件、或发起DDOS攻击等。而是迅速进入了OT环境,即用于分配电力传输的环境。
https://www.cybereason.com/blog/ ... specialized-hackers
3 研究人员发现比特币ATM恶意软件
趋势科技近日称在金融业新增的比特币(BTC)ATM技术功能中,相关的恶意软件在地下市场中出现并向用户售卖。比特币ATM与普通的ATM不同,它不能连接到银行账户而是连接到加密货币交易所(买卖比特币等加密货币的平台)。比特币ATM没有单一的验证或安全标准,是使用移动号码和ID卡进行用户身份验证,然后用户必须输入钱包地址或扫描其QR码。用于存储数字货币的钱包也没有标准化,需要经常从应用程序商店下载,这带来安全问题。已出现的恶意软件利用服务漏洞,使用菜单漏洞将机器与网络断开以禁用警报,允许用户接收金额高达6750美元,欧元或英镑的比特币。现在以25000美元的价格出售,并向购买用户提供带有EMV和NFC功能的即用型卡。通过评论数量可以推测,卖方以从中已获取很大收益,卖方还提供包括EMV标准更新的常规ATM等一系列与金融相关的恶意软件和受损帐户。表明此人是一位经验丰富的网络犯罪分子,似乎并不局限于加密恶意软件扩展相关可获利的恶意产品。趋势科技推测,随着比特币ATM数量的增长,将出现针对加密货币ATM的更多形式的恶意软件。
https://blog.trendmicro.com/tren ... in-the-underground/
4 劫持剪贴板比特币木马出现新变种
2018年7月,Fortiguard Labs发布关于窃取比特币的新恶意软件活动,目前涉及为金额60000美元。研究人员发现这种威胁与2018年4月的几项特定于Jigsaw勒索软件的规则相匹配,但其所包含的程序集名称BitcoinStealer.exe与勒索软件特征不符。比特币窃取程序使用可执行文件来监视受感染计算机的剪贴板内容,以查找比特币地址,将所找到的地址替换为在自己钱包地址的开头和结尾具有类似字符串的地址,使自己加入比特币交易,并诱使用户将加密货币发送到窃取者控制的钱包。窃取者是能够监控和更改剪贴板内容,这款恶意软件紧随2018年1月发布的Evule,CryptoShuffler之后出现,窃取者通常会通过窃听程序是剪贴板劫持更改其内容,将浏览器用户引导到恶意网站,使用pastejacking策略来干扰从网络浏览器复制并粘贴到终端的命令。IBM安全专家建议在所有工作站上安装更新的防病毒软件,并进行安全意识培训。
https://securityintelligence.com ... odification-method/
5 墨西哥200万人医疗数据在线泄漏
安全研究员Bob Diachenko通过Shodan搜索引擎发现MongoDB数据库遭在线公开,包含墨西哥200万患者的医疗保健信息,包括全名,性别,出生日期,保险信息,残疾状况和家庭住址等信息。研究员在分析数据库后,找到包含管理员电子邮件地址的字段,域名为hovahealth.com和efimed.care。Hovahealth.com属于为医疗保健行业提供服务墨西哥的技术公司Hova Health,efimed.care域名可能属于政府卫生服务机构。Hova Health回应称检查基础设施,并在接下来的三个小时内得到保护。Shodan称MongoDB的问题在2013年3月就已被发现,虽然该公司进行了安全设置并发布了安全指南,但是无担保的数据库(大约54000个)仍在广泛被使用,勒索软件和其他恶意软件也都在瞄准健康领域。
https://www.bleepingcomputer.com ... ico-exposed-online/
6 研究人员公开新WiFi密码破解技术
密码破解工具Hashcat的首席开发人员Jens'Atom'Steube,设计了一种新的WiFi黑客攻击技术,可以利用这种技术轻松破解大多数现代路由器的WiFi密码。新WiFi黑客技术允许破解WPA / WPA2无线网络协议,启用了基于成对主密钥标识符(PMKID)的漫游功能。此技术是在专家分析推出WPA3安全标准的过程中意外发现的新攻击 ,而使用平等同时认证(SAE)的WPA3将更安全不会支持此技术攻击。攻击者可以使用hcxdumptool等工具,从目标接入点请求PMKID,并将接收到的帧转储到文件中,运行hcxpcaptool工具将捕获的数据从pcapng格式转换为hashcat接受的哈希格式,然后使用Hashcat密码破解工具获取作为目标无线网络密码的WPA PSK(预共享密钥)密码。此次新发现的技术有如下特点:攻击者直接与AP通信不再需要常规用户;不再需要等待普通用户和AP之间的完全4次握手;不再发生EAPOL帧的最终重传;常规用户不再发送最终的无效密码;当常规用户或AP离攻击者太远时,不会丢失EAPOL帧;不再需要修复nonce和replaycounter值;最终数据将显示为常规十六进制编码字符串,没有pcap,hccapx等特殊输出格式。
https://securityaffairs.co/wordp ... -wifi-wpa-wpa2.html
|
发表于 2018-8-8 16:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡