1 研究人员发现意大利遭受Ursnif恶意邮件攻击
Check point研究人员发现意大利正遭受一波新的Ursnif垃圾邮件攻击。这些邮件来自tiscali.it, pec.it, libero.it等意大利知名的网络邮件服务,都包含一个zip文档,虽然其主题各不相同,但目的都是为了投放名为SCANSIONE.VBE的文件(加密VBSript文件)。感染链为:首先VBE文件从页面pagamentofattura\.com/ntu下载powershell脚本,powershell运行certutil.exe来下载base64编码文件,伪装成来自pagamentofattura\.com/ntu.txt的证书。certutil.exe解码此文件并写入到名为notepad+.exe新文件并执行。
https://research.checkpoint.com/vbetaly/
2 研究人员揭示模块化恶意软件下载器Marap
Proofpoint研究人员最近在几个包含数百万条消息的大型电子邮件活​​动中发现了一个新的恶意软件下载器Marap,主要针对金融机构。该恶意软件具有模块化的特征,允许攻击者在可用时添加新功能或在感染后下载其它模块和载荷,与之前的TA505的攻击有很多相似功能。攻击者向受害者发送电子邮件附件类型包括带有Microsoft Excel Web查询(“.iqy”)文件,包含“.iqy”文件受密码保护的ZIP存档,嵌入“.iqy”文件的PDF文档,包含宏的Microsoft Word文档。恶意软件使用C语言编写,包含一些反分析功能。Marap的配置以DES加密格式存储在恶意软件二进制文件中或工作目录的Sign.bin文件中,并使用HTTP与C&C通信,目前研究人员现只观察到从C&C服务器发送的系统指纹识别模块。
https://www.proofpoint.com/us/th ... e-more-part-1-marap
3 Google Play被发现含有恶意广告的仿冒应用
赛门铁克最近发现了包含攻击性广告的68个欺诈性应用程序,其开发人者由五个不同的开发人员组成。这些APP附带应用程序标题,说明和屏幕截图,在表面伪装成合法的app。用户下载安装app后,将收到一系列的引导屏幕,每次单击“下一步”按钮时,都会弹出广告,并对有关恶意程序进行详细描述,以吸引用户进行安装,但实际未提供相关功能。安装时显示的图像也不是实际的闪屏,而是静态图像。这些应用程序于2018年6月上传到Google Play,目前开发人员似乎仍在上传此类虚假应用程序,其总安装数量至少为13000。
https://www.symantec.com/blogs/t ... e-found-google-play
4 Necurs僵尸网络使用PUB文件攻击银行机构
Cofense™Research报告称,8月15日美国东部时间7点30分左右至15点37分,Necurs僵尸网络于对2700家银行机构进行了高度针对性的攻击活动。该活动的网络钓鱼电子邮件似乎来自印度,其中包含主题行“请求BOI”或“付款建议”。此次活动中没有免费邮件提供商,表明攻击者明确意图渗透银行。研究人员在网络钓鱼电子邮件中发现附加了一个新的文件扩展名.pub,属于Microsoft Publisher。与Word和Excel一样,Publisher具有嵌入宏的能力。攻击者在.pub扩展包含一个嵌入式宏,用户执行时,宏获取UserForm1.Frame1.tag对象中的URL,该URL从远程主机进一步下载,最终获得荷载FlawedAmmyy远程访问木马,使攻击者获得了对受损主机的完全远程控制,从而实现了凭证盗窃和银行机构未来横向移动的潜力。
https://cofense.com/necurs-targe ... -drops-flawedammyy/
5 WordPress严重漏洞使运行CMS网站遭受攻击
Secarma研究员Sam Thomas近日在BSides技术网络安全会议上表示,一个被搁置一年未经修补的严重WordPress漏洞,会破坏运行CMS的无数网站。这个漏洞允许攻击者使用WordPress PHP框架,从而导致整个系统的妥协。研究院称如果域允许上载文件(例如图像格式),则攻击者可以上传精心设计的缩略图文件,通过“phar://”流包装器触发文件操作。从逆向角度来说,该漏洞会触发eXternal Entity(XXE-XML)和服务器端请求伪造(SSRF)漏洞,导致平台代码中的反序列化。这可以作为更严重的远程代码执行攻击的途径。
数百万网站管理员使用WordPress内容管理系统(CMS)来管理域名,该漏洞影响群体巨大。CMS提供商在2017年2月已知晓此漏洞,但目前仍未采取相关行动。
https://www.zdnet.com/article/wo ... ar-websites-online/
6 Linux内核中可引发DDoS攻击的漏洞已被修复
Linux内核存在的两个漏洞分别为SegmentSmack(CVE-2018-5390)和FragmentSmack(CVE-2018-5391),会影响Linux内核的TCP堆栈,并且会在基于Linux的系统中引发过多的资源使用。攻击者可以利用SegmentSmack和FragmentSmack制作TCP段和IP数据流,并发送到目标服务器,个人计算机,平板电脑或智能手机,通过增加CPU和RAM使用触发资源耗尽操作,从而导致受影响系统重新启动。SegmentSmack漏洞的根源在于tcp_collapse_ofo_queue()和tcp_prune_ofo_queue()函数,FragmentSmack由于Linux内核处理碎片化IPv4和IPv6数据包重组的方式。这些漏洞可以被远程利用和引起DoS或DDoS攻击。
https://www.bleepingcomputer.com ... ed-in-linux-kernel/
|