找回密码
 注册创意安天

每日安全简讯(20180928)

[复制链接]
发表于 2018-9-27 21:09 | 显示全部楼层 |阅读模式
1 安全厂商发现VPNFilter增加七个新模块以增强功能

VPNFilter 是一个多阶段的模块化框架,已经感染了全球数十万个网络设备。思科Talos最近发现了另外七个第三阶段VPNFilter模块,这些模块为恶意软件增加了重要功能。新功能包括数据过滤和多个加密隧道功能,以屏蔽C2和数据泄漏流量。攻击者可以利用他们对敏感系统(如网关和路由设备)的访问来执行诸如网络映射和端点利用、网络通信监控和流量操纵等活动以及其他严重威胁。VPNFilter提供的另一个危险功能是将受感染的设备转变为代理,使攻击看起来是由之前受VPNFilter攻击的网络发起的。该框架的复杂性进一步说明了威胁行为者利用它的高级功能,以及组织部署强大的防御架构以应对VPNFilter等威胁的需求。
1.jpg

https://blog.talosintelligence.c ... er-part-3.html#more


2 360发布疑似摩诃草组织的最新样本分析报告

9月中上旬,360 CERT在处理恶意样本时发现一例疑似摩诃草组织的攻击样本,样本C2指向filepiece.com。该样本是一个Dropper。属于攻击链条的中间环节。其主要功能是获取目标对象的用户名、计算机名等基础信息。将这些基础信息编码后回传C2服务器,并从C2服务器下载下一阶段攻击载荷继续执行。并设置开启自启动。到目前为止,样本连接的C2域名鲜有解析记录,也没有跟任何其它恶意样本关联。虽然域名能够正常解析,却不能下载后续攻击载荷。该域名可能是一个摩诃草组织新的正在或者准备发起攻击的域名资产。
2.png

https://mp.weixin.qq.com/s?__biz ... 9sQcJb1y0j3iC9fd#rd


3 Hide&Seek僵尸网络利用ADB远程控制安卓设备

Bitdefender研究人员在1月初发现一种新的物联网僵尸网络Hide&Seek,在几天内发展了90,000台设备。该僵尸网络不断扩展其功能并感染新的设备。研究人员发现在新变体中,攻击者利用Android设备中Wi-Fi功能的Android调试桥(ADB)增强恶意软件的功能,可以使用TCP端口5555访问的ADB接口远程连接到用户,从而以管理员身份执行命令。目前Hide&Seek僵尸网络已经包含了一个巨大的武器库,用于破坏连接互联网的设备,最近的这一新增功能可能使它能够至少再收集40,000台新设备。受影响的设备大多数在中国和韩国,少部分在美国和俄罗斯。
1234.jpg

https://labs.bitdefender.com/201 ... of-android-devices/


4 安全厂商发现APT28组织攻击欧洲多国政府实体

安全厂商ESET在9月27日发布报告《LoJax:UEFI rootkit的第一个真实攻击应用,来自Sednit组织》,披露APT 28(ESET称之为Sednit)使用恶意程序LoJax和UEFI bootkit攻击欧洲多国政府实体。LoJax是对合法软件LoJack 组件的恶意修改,将用户重定向到恶意C&C服务器,于今年5月首次被发现。ESET的报告中指出,LoJax还被用于修改攻击目标的UEFI/BIOS设置以安装UEFI rootkit,后者从恶意C&C服务下载恶意载荷,并写入目标计算机的系统分区,实现持久化。这是首次在网络攻击活动中发现UEFI rootkit。2017年“维基解密”曝光的CIA“元年”网络工具中,“暗物质”(Dark Matter)也具有修改UEFI的能力。
eset.png

https://www.welivesecurity.com/2 ... rtesy-sednit-group/


5 研究人员发现Linux内核中的本地特权升级漏洞

安全研究人员最近发现了一个Linux内核漏洞CVE-2018-14634,被称为Muntegen Astronomy。该漏洞存在于Linux内核的create_elf_tables()函数中。当被利用时,它可能导致缓冲区溢出,这反过来又可能允许攻击者以root管理员权限执行恶意代码。该漏洞目前仅影响CentOS和Red Hat Linux发行版。Red Hat团队还发布了一个基本的缓解流程,解释了用户如何在补丁可用之前保护易受攻击的系统。预计这些更新将在未来几天发布。
5.jpg

https://cyware.com/news/new-linu ... le-systems-b292d8b3


6 思科88个产品中存在FragmentSmack DoS漏洞

思科证实其88款产品受到潜在危险的拒绝服务(DoS)漏洞CVE-2018-5391的影响。该漏洞被称为FragmentSmack,于8月份被发现。该漏洞是由于受影响内核使用的IP堆栈中的IPv4和IPv6片段重组算法效率低下造成的,影响使用Linux内核3.9或更高版本的产品和服务。思科尚未提出解决问题的补丁。
6.jpg

https://cyware.com/news/new-frag ... o-products-ae4f46ae



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 07:47

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表