找回密码
 注册创意安天

每日安全简讯(20180812)

[复制链接]
发表于 2018-8-11 19:54 | 显示全部楼层 |阅读模式
1 美国国土安全部分析来自朝鲜的恶意软件

美国计算机应急响应组(CERT)近期发布了国土安全部(DHS)与联邦调查局(FBI)联合完成的恶意软件分析报告(MAR),对朝鲜政府使用的名为KEYMARBLE的木马进行了深入分析,该木马是与朝政府恶意网络活动(称为HIDDEN COBRA)有关的多个木马之一。CERT说明,该报告是为提供“当下状况”的信息,其信息共享级别定为“白色”,即不受限公开,没有或极少可能被误用。并称发布此报告是为加强网络防御,缩小美对朝鲜政府恶意网络活动的暴露。此报告只分析一个32位Windows可执行文件,判别其功能为远程访问木马(RAT)。执行时,它会混淆其应用程序编程接口(API)并使用端口443,试图连接硬编码的IP地址。在连接之后,恶意软件会等待进一步的指令。静态分析表明,此RAT使用定制XOR加密算法,确保数据传输和C2会话,以保证接受来自远程服务器的指令以执行访问设备配置数据、下载其他文件、执行命令、修改注册表、捕获屏幕截图和渗出数据等一系列功能。NCCIC建议用户和管理员考虑使用最佳实践来加强其组织系统的安全状况,并应在实施之前检查配置更改,以避免不必要的影响。
1.jpg

https://www.us-cert.gov/ncas/analysis-reports/AR18-221A


2 Hamas威胁组织针对以色列传播间谍软件

以色列网络情报公司ClearSky透漏,Hamas威胁组织正试图在以色列的手机上植入间谍软件。利用一个冒充以色列Color Red的假网站,本来通过正规Color Red网站,用户可以下载一个火箭袭击报警APP,这些火箭通常来自以色列南部区域,将用户重定向到恶意APP,还指示用户可以通过Facebook上的虚假资料和Twitter上的僵尸网络来下载APP。下载APP后,它会接管您的手机并允许操作员跟踪设备,记录其位置,拍照,录制音频,拨打电话,发送消息以及设备能做的任何其他动作。而且APP一旦下载,就无法彻底删除。ClearSky首席执行官Dolev称,根据收集的一系列数据,根据已有的信息分析:该APP为哈马斯(Hamas)开发的针对以色列的“网络武器”,将传统的针对以色列的实体火箭袭击延伸到网络空间。
2.jpg

https://www.israelnationalnews.com/News/News.aspx/250319


3 白俄罗斯网络钓鱼探险骗局近日袭击南非

一位不愿意透露姓名的、来自南非的网站防诈骗专家称最近在南非发生了几起来自白俄罗斯的网络钓鱼的勒索骗局。此系列活动被称为白俄罗斯网络钓鱼探险。骗子发送勒索信件,为了使受害者相信,他们将受害者的名字和其中一个账号的密码(其实这些密码是从公开泄露的信息挑选出来的)组合起来作为勒索软件的主题,试图诱骗人们付钱来免遭泄露个人敏感的信息,并假装为黑客,威胁受害者:如果不付钱,就会公开“其不雅视频”(谎称已经偷偷开启了受害者机器的网络视频,并录下受害者的不雅视频),并将其发送给受害者的联系人。最初定制的电子邮件专用域名被用来启动钓鱼攻击,几个月后,使用签名$ui$ideBunnY队,现已停用。从今年年出开始,攻击者开始使用欺骗性电子邮件,只留下一个比特币钱包地址和很短的时间供受害者支付。目前攻击者改称Outlook.com电子邮件地址,这些诈骗者使用已经公开泄露的信息,来诱骗用户,使得用户相信他们已经被黑客攻破和入侵。FireFly的Liebling称Ashley Madison黑客攻击中的成员也开始了相关的网络钓鱼攻击。
3.jpg

https://mybroadband.co.za/news/s ... s-south-africa.html


4 STOP勒索软件新变种正在进行新分发活动

BleepingComputer称,STOP勒索软件变种KeyPass正在进行新的分发活动,已经有一定数量的受害者。自8日以来,KeyPass活动不断扩大,勒索软件ID的提交已增加到20多个国家。当用户感染KeyPass勒索软件时,文件将被附加.KEYPASS扩展名进行加密,还创建名为!!!KEYPASS_DECRYPTION_INFO!!!.txt 的支付赎金文件说明,其中包含两个邮件地址,供用户联系支付赎金、获取解密秘钥等。目前还没有掌握关于KeyPass的具体的信息。
4.jpg

https://www.bleepingcomputer.com ... -campaign-underway/


5 西门子工具中存在漏洞使ICS环境面临风险

工业网络安全公司Nozomi Networks的研究人员发现,西门子全集成自动化门户软件TIA Portal中SIMATIC STEP7和SIMATIC WinCC工具的默认安装,受到两个严重不正确的文件权限漏洞的影响。其中漏洞CVE-2018-11453,允许访问本地文件系统的攻击者插入特制文件,导致TIA Portal进入拒绝服务(DoS)条件或允许黑客执行任意操作码。开拓此漏洞并不需要特殊权限,但受害者需要尝试打开TIA Portal才能触发漏洞。另一个漏洞CVE-2018-11454与TIA Portal特定目录中的不正确文件权限配置问题有关,可能允许在安装软件的机器中具有本地特权的攻击者操纵错误配置目录内的资源,当合法用户使用使用TIA Portal软件套件将配置传输到目标设备时,远程设备将自动执行恶意添加的文件。西门子发布了14和15的版本更新以解决漏洞。对于早期版本,用户可以通过限制对授权用户的操作系统访问以及仅从受信任的源处理GDS文件来防止利用。Nozomi 认为此漏洞可能会使APT安装在ICS中,以构建更大的恶意软件。
5.jpg

https://www.securityweek.com/fla ... s-environments-risk


6 研究人员发现ATM存在被窃取现金的漏洞

来自Positive Technologies公司的安全研究人员称ATM机和分配器之间的通信加密存在使攻击者窃取现金的漏洞。其中漏洞CVE-2017-17668是由NCR S1分配器控制器中的内存写入机制保护不足造成,在NCR S2分配器中发现了漏洞CVE-2018-5717。攻击者可以在ATM自动提款机的控制器上安装过时的不安全软件,并发出命令以分发现金。也可以利用物理安全,将电脑连接到分发器,从而窃取现金。该公司的硬件安全分析主管Alexey称并非所有从ATM机到分配器的请求都是加密的,加密仅适用于制造商认为重要的请求,但一些非关键性请求可能同样存在危险。目前ATM制造商NCR已修补发现的ATM漏洞。研究机构与相关报告称,近年来,使用物理或网络接入的ATM逻辑攻击和恶意软件辅助ATM逻辑攻击数量不断增加。ATM恶意软件的主要目标是连接和控制ATM内的外围设备,以提取存储的现金或从银行客户收集信息。 安全专家建议,可以从物理与逻辑上对ATM安全实行措施以应对各种可能的攻击。
6.jpg

https://www.computerweekly.com/n ... ATM-vulnerabilities

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 10:55

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表