找回密码
 注册创意安天

每日安全简讯(20180822)

[复制链接]
发表于 2018-8-21 22:18 | 显示全部楼层 |阅读模式
1 EGG文件格式被用于投送GandCrab勒索软件

趋势科技发现垃圾邮件滥用 EGG(.egg)文件向韩国用户传送GandCrab v4.3勒索软件,将此检测为Ransom_GANDCRAB.TIAOBHO。EGG是一种在韩国广泛使用的压缩存档文件格式。垃圾邮件的伪装成对电子商务交易违法行为的调查,其主题、正文和文件名附件中均使用韩文,说明该活动只针对于韩国。附加的EGG包含两个伪装成文档的快捷方式.lnk文件和一个用户解压后就会消失的.exe文件,用户解压后打开其中任何一个.lnk文件,执行隐藏的GandCrab恶意软件,连接到其C&C服务器后,GandCrab v4.3勒索软件将加密受感染机器中的文件。伪装成doc文档的文件实际是lnk文件,双击可以运行其指向的可执行文件VenusLocker_korean.exe,表示可能幕后攻击团伙为VenusLocker。趋势科技的数据显示,GandCrab是2018年3月至7月全球检测到的第二大勒索软件家族。
1.jpg

https://www.trendmicro.com/vinfo ... -south-korean-users


2 厂商发现针对墨西哥的攻击活动Dark Tequila

安全厂商卡巴斯基分析针对墨西哥用户的复杂恶意活动Dark Tequila,其主要目的是窃取财务信息,以及从代码版本存储库到公共文件存储账户和域名注册商等流行网站的登录凭证。攻击者只针对几个墨西哥银行机构的客户,恶意软件包含一些用西班牙语编写的代码中的注释,并且只使用了在拉丁美洲用的单词。Dark Tequila是非常成熟的恶意软件,攻击者严格监控和控制所有操作,其配套基础设施非常复杂,现已知两种感染载体为鱼叉式网络钓鱼和USB设备感染,恶意植入物包含操作所需的所有模块,使用het命令服务器执行指令,不同的模块会解密和激活,然后所有被盗数据都以加密形式上传至服务器。活动模块包括与命令和控制服务器的通信模块,清理, 键盘记录程序和Windows监视器,信息窃取程序,感染其它可能处于隔离网络的计算机的USB感应器,确保恶意代码不被终止运行的Service监控。目前该活动仍处于活跃阶段。
2.jpeg

https://securelist.com/dark-tequila-anejo/87528/


3 Ryuk勒索软件袭击全球多个组织并获大量赎金

安全公司checkpoint称,Ryuk勒索软件在过去两周袭击了全球多个组织。Ryuk技术能力相对较低,但目前全球至少有三家公司受到该活动的严重打击,受感染公司已被加密了的数百台PC,存储和数据中心。一些组织支付了大金额赎金以便检索他们的文件,攻击者目前已经获得了超过640,000美元的赎金。研究人员分析发现,Ryuk与HERMES有很多相似之处,包括加密单个文件的功能,加密文件使用的文件标记,文件标记的检查,白名单相似的文件夹,同一路径中编写window.bat的批处理脚本,使用类似的脚本来删除影子卷和备份文件,文件丢弃到磁盘上在名称和目的上类似。这说明攻击者与朝鲜有关,但也可能是获得HERMES源代码。Ryuk专门用于定制攻击,加密方案设计为小规模的操作,只有关键的资产和资源在每个目标网络中被感染,并且由攻击者手动执行。赎金票据有一高一低的两个支付金额范围的版本,这说明攻击者有不同级别的攻击。Ryuk采用AES-RSA进行加密,目前Ryuk无法解密。
3.jpg

https://research.checkpoint.com/ ... ted-campaign-break/


4 最新垃圾邮件活动传播勒索软件Hermes及木马

安全研究员Yves Agostini发现最新的垃圾邮件活动,是通过向收件人发送带有虚假未付款发票的垃圾邮件,安装勒索软件Hermes 2.1和木马AZORult。垃圾邮件中包含一个名为Invoice.doc的未偿还余额的假发票Word文档附件,此Word带有密码保护,以逃避防病毒供应商的检测,其密码在邮件中已给出,收件人输入密码后,将显示启用内容提示,一旦点击,将下载并执行木马AZORult(azo.exe)和勒索软件Hermes 2.1 (hrms.exe)。AZORult进行信息窃取,Hermes 2.1加密计算机文件并带有DECRYPT_INFORMATION.html赎金票据。
4.jpg

https://www.bleepingcomputer.com ... omware-and-azorult/


5 微软称截获APT28组织攻击美国中期选举活动

微软称已成功地破坏了针对美国中期选举的黑客攻击活动,该组织被称为APT28,Fancy Bear或,trontium,与俄罗斯军事情报局GRU有关。微软现已以转移该组织创建的六个互联网域名的控制权,分别为my-iri.org ,hudsonorg-my-sharepoint.com ,senate.group ,adfs-senate.services ,adfs-senate.email ,office365-onedrive.com。微软称,攻击者通过设法获得域名的所有权,以被用作鱼叉式网络钓鱼操作的一部分。微软在过去两年中,共接管了84个APT28域名,现已正式推出AccountGuard服务,确保美国大选和竞选实体的IT基础设施免受攻击。
5.jpg

https://www.bleepingcomputer.com ... -midterm-elections/


6 新技术Turning Tables可绕过微软内核保护措施

在八月举行BSides Las Vegas安全会议上,来自安全公司enSilo的两位研究人员 Omri Misgav和Udi Yavo发现一种新技术Turning Tables,并利用Windows的页面表,可以绕过Windows操作系统中存在的内核保护措施。页表是所有操作系统的通用数据结构,用于存储虚拟内存和物理内存之间的映射。虚拟地址由OS进程执行的程序使用,而物理地址具体的是由RAM子系统使用。由于RAM是有限的,操作系统会创建共享代码页,使多个进程可以存储相同的代码并在需要时调用。Turning Tables技术依赖于制作恶意代码,来改变这些共享代码页,以影响其它进程的执行,其中一些进程具有更高的权限。研究人员还表示,该技术还可用于改变沙箱中运行的应用程序,这些沙箱是为保护应用程序免受此类攻击的唯一目的而创建的隔离环境。由于页面表的概念也被Apple和Linux使用,理论上macOS和Linux也很容易受到这种技术的攻击。目前已向微软通报了该技术。
5.png

https://www.bleepingcomputer.com ... kernel-mitigations/
Turning (Page) Tables_Slides.pdf (1.51 MB, 下载次数: 31)

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 09:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表