找回密码
 注册创意安天

每日安全简讯(20180816)

[复制链接]
发表于 2018-8-15 20:28 | 显示全部楼层 |阅读模式
1 360揭露APT组织“肚脑虫”移动端攻击活动

安全公司360对近日发现的肚脑虫组织APT-C-35(Donot)针对移动端的攻击活动进行了披露。肚脑虫组织的攻击最早在2016年4月,针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,攻击方式主要针对PC端采用鱼叉邮件进行攻击,以窃取敏感信息为主。在2018年8月,研究人员发现一款伪装成KNS Lite(克什米尔新闻服务)移动端RAT和一批同类的移动端RAT,攻击目标为克什米尔地区,影响的国家为巴基斯坦和印度。此攻击采用建立传播恶意荷载的网站钓鱼攻击、伪装成正常应用的邮件或者短信的鱼叉攻击手段,使用两种伪装方式:应用运行后展现形式伪装和文件图标伪装,该RAT还具有响应云端指定攻击指令进行录音、上传联系人、通话记录、短信等恶意行为。
1.png

https://ti.360.net/blog/articles ... not-andriod-sample/


2 Anubis恶意软件重新回到Google Play商店

Sophos实验室的Android研究人员最近发现主要针对土耳其用户的凭据窃取恶意软件Anubis最近已重回谷歌Play Store。Anubis是一个银行木马和僵尸程序,源于Maza-in银行木马的源代码泄露。该软件家族的开发者通常将下载程序伪装为金融、汽车、购物等功能app,用作为下载器收集包括IMEI,OS版本,型号名称,root状态参数的设备数据。当用户成功安装并于C2服务器交互后,实行绕过Google Play防御的延迟策略,等待一段时间后,攻击者方可获取载荷,实现窃取用户银行凭据、对用户进行控制等功能。Sophos检测到Anubis下载器为 Andr/Banker-GWQ ,载荷本身为Andr/Banker-GUZ和Andr/Banker-GTN,通过浏览服务器从暴露了开放目录结构中发现700多个恶意Android应用程序,针对Santander,Natwest,RBS和Citibank等70多种不同的银行应用程序和PayPal, eBay和亚马逊等非银行业务。Sophos表示Anubis是一项不会很快消失的持续活动,将继续进行跟踪。
2.png

https://news.sophos.com/en-us/20 ... k-are-you-prepared/


3 研究者公开可破解VPN数据的VORACLE技术

安全研究员Ahamed Nafeez在上周的Black Hat和DEF CON安全会议上披露了一种针对OpenVPN的攻击VORACLE新攻击,并分享了概念验证代码。VORACLE是一种混合了CRIME、TIME和BREACH等旧加密攻击的变体,仅适用于构建在OpenVPN协议之上的VPN服务/客户端,原因是OpenVPN协议的默认设置是,先对所有数据进行压缩,然后进行TLS加密,最后通过VPN隧道传输,而这恰好满足CRIME加密攻击的条件 。攻击者只需将用户诱骗至受其控制的HTTP站点、或者攻击者可以进行代码执行的合法站点,就可以使用CRIME攻击的手法来解密通过VPN发送的HTTP流量的数据,从而获得cookie、带有敏感信息的页面等信息。安全研究员建议用户使非OpenVPN协议、不要访问HTTP网站、使用基于Chromium的浏览器等方法来避免此攻击。
3.png

https://www.bleepingcomputer.com ... om-vpn-connections/


4 英特尔发布可用于幽灵攻击的L1TF漏洞报告

8月14日,英特尔发布了影响英特尔CPU的三个新漏洞的报告,称为L1终端故障(L1TF)或Foreshadow和Foreshadow-NG。这三个漏洞分别为CVE-2018-3615(L1TF-SGX),CVE-2018-3620(L1TF-OS/ SMM)和CVE-2018-3646( L1TF-VMM),都为幽灵级别的攻击,利用了名为“推测执行”的CPU设计功能(通过提前计算操作并随后丢弃不需要的数据来提高性能),目的为在此期间处理的数据,存储在计算机中最快的内存、最靠近处理器并与CPU内核共享的处理器的L1缓存中。英特尔称对漏洞的微码更新和操作系统补丁可以充分减轻L1TF的攻击,与Spectre的情况不同,该更新并没有对性能造成影响。
4.jpg

https://software.intel.com/secur ... e/l1-terminal-fault


5 微软Cortana漏洞可致未授权控制浏览器访问

McAfee发布Windows锁定屏幕上启用的Microsoft Cortana存在漏洞的报告。该漏洞为CVE-2018-8253,允许对设备进行物理访问的攻击者进行两种未经授权的浏览,第一种为攻击者可以强制Microsoft Edge导航到攻击者控制的URL,第二种为攻击者可以通过使用受保护的受害者凭据去使用受限版本的Internet Explorer 11。研究人员采用对Windows 10设备的完整登录旁路机制的分析发现,Cortana权限提升会导致锁定屏幕上的强制导航,虽然不允许攻击者解锁设备,但是它确实允许有物理访问权的人在设备仍然锁定的时候导航到攻击者选择的页面,导致攻击者可使用存储在浏览器高速缓存中的凭证来危害系统或冒充用户,将Cortana指向他们无法解锁的域名,并控制这个域,就可以在访问计算机的浏览器上运行想要的任何JavaScript。目前新的漏洞现已在微软8月更新补丁中得到解决。
5.jpg

https://securingtomorrow.mcafee. ... ogin-cve-2018-8253/


6 微软针对产品中发现多个漏洞发布补丁更新

8月14日微软进行了补丁更新,涉及影响Windows操作系统,Edge和Internet Explorer以及其它产品的多个新漏洞。趋势科技表示,其中修补了两个已经被积极利用的0day漏洞。其中一个为CVE-2018-8373,是趋势科技研究人员在Internet Explorer中发现的VBscript引擎中的释放后使用(UAF)漏洞,成功利用此漏洞可能允许攻击者远程获得对目标系统的管理权限。另一个为CVE-2018-8414,这是一个由于系统文件路径验证不当而存在的Windows Shell远程执行代码漏洞。此漏洞还允许在其读取器中嵌入某些文件类型。
6.jpg

https://blog.trendmicro.com/tren ... e-of-two-zero-days/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 09:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表