找回密码
 注册创意安天

每日安全简讯(20181011)

[复制链接]
发表于 2018-10-10 21:09 | 显示全部楼层 |阅读模式
1 APT组织FruityArmor利用0day漏洞攻击中东地区

卡巴斯基研究人员发现攻击者利用Microsoft 0day漏洞攻击中东地区。此活动具有针对性,影响到中东地区的受害者人数非常少,目前只攻击了十多个目标, 可能是只袭击者感兴趣的人。该漏洞为卡巴斯基实验室8月份在win32k.sys中发现,被追踪为CVE-2018-8453。该漏洞由恶意软件安装程序的第一阶段执行,以获得对受害者系统持久性的必要特权。主要载荷存储在磁盘上随机命名的文件中,使用带有SMBIOS UUID的SHA-1的AES-256-CBC加密,使用Microsoft BITS(后台智能传输服务)与其C&C服务器进行通信。利用此漏洞取决于从三个usermode回调函数fnDWORD,fnNCDESTROY和fnINLPCREATESTRUCT。攻击者漏洞利用的代码质量很高,其目的是可靠地利用尽可能多的MS Windows版本。攻击者使用的PowerShell后门,为APT组织FruityArmor专有使用的后门,并且C2所使用的域名也存在重叠,该活动的幕后组织很可能为FruityArmor。
11.png

https://securelist.com/cve-2018- ... eted-attacks/88151/


2 研究人员观察到用新方法传播URSNIF的钓鱼活动

趋势科技研究人员观察到攻击者使用被劫持的电子邮件帐户,将恶意软件作为现有电子邮件线程的一部分或作为响应进行发送,因为作为一个合法且持续对话的一部分,所以这种特殊方法通常难以发现和检测。攻击者冒充受害者相识的人发送恶意电子邮件,如果用户双击.doc附件,它将在执行下载的文件之前,从C&C服务器调用PowerShell,下载最新版本的URSNIF,所有回复都将发送到发件人的邮箱帐户。它仅在Microsoft OS上运行,并避开使用具有俄语或中文语言环境的计算机。从发送地址分析看出邮件从美国发送,所有者来自加拿大。此次活动主要影响北美和欧洲,但研究人员在亚洲和拉丁美洲地区也发现了类似的攻击。攻击领域包括教育,金融,能源部门,房地产,交通运输,制造业和政府。
22.png

https://blog.trendmicro.com/tren ... to-ongoing-threads/


3 研究团队发现可以挖取门罗币xmr的新型挖矿病毒

腾讯安全云鼎实验室近日发现可挖取门罗币(xmr)的挖矿病毒,将此新家族命名为「罗生门」。该挖矿团伙利用被入侵的博彩网站服务器进行无针对的、广撒网式的病毒传播,但不具有传播性,总体结构式是 Loader+挖矿子体,挖矿样本通过母体释放挖矿子体。母体是Loader, 使用Go语言编写,包含自启动和释放运行文件两个部分,子体为加UPX变形壳开源矿机程序。研究人员通过溯源分析发现,至今年5月开始传播以来,攻击者使用两个攻击的IP,分别为位于香港的两台挖矿代理主机和入侵美国和贵州的两台远控的下载机,以进行远程SSH暴力破解传播病毒。目前「罗生门」挖矿病毒累计挖出约12.16个门罗币,价值约1w人民币。
33.png

http://www.freebuf.com/articles/network/186208.html



4 Magecart对Shopper Approved展开最新攻击活动

RiskIQ研究人员发现在Shopper Approved页面代码中发现了支付卡窃取程序Magecart,这是Magecart组织最新的一次攻击活动。Shopper Approved是一个用户评级系统插件,集成了数千个电子商务网站,此次攻击将影响整个供应链。Magecart自2015年开始活跃,通过恶意软件窃取在电子商务网站的数据和支付卡详细信息。研究人员发现该组织此次攻击忘记了对分离器进行混淆,又在约15分钟后进行了修改。虽然Shopper Approved与数千个网站相关联,但由于实际结帐页面上没有恶意脚本,只有一小部分客户受到影响。研究人员表示Magecart集团正在对电子商务进行全面攻击,此类攻击会越来越多。
44.png

https://www.riskiq.com/blog/labs/magecart-shopper-approved/


5 360发布ghostscript任意文件读写漏洞的预警分析

10月9号,Tavis Ormandy通过公开邮件列表,再次指出ghostscript的安全沙箱可以被绕过,通过构造恶意的图片内容,可造成任意文件读写。ghostscript应用广泛,ImageMagick、python-matplotlib、libmagick 等图像处理应用均有引用。Taviso发现通过特殊的命令组使得.forceput留存于stack ,通过再注册该命令进行forceput命令的利用,进而对systemdict进行修改,最终达到bypass safer开启文件读写权限,引发任意读写漏洞。目前官方已给出缓解措施,更新ghostscript或禁用使用gs解析ps文件,但尚无release版本发布。
55.png

https://cert.360.cn/warning/deta ... 0fcadc5edbb0536cd77


6 安全厂商发现VMware Workstation存在DoS漏洞

思科Talos发现VMware Workstation中可能导致拒绝服务的漏洞CVE-2018-6977。 VMware Workstation是一种广泛使用的虚拟化平台,与操作系统一起运行,允许用户同时使用虚拟化系统和物理系统。该漏洞存在于VMware Workstation使用的像素着色器中,攻击者可以通过文本或二进制形式guan的异常像素着色器利用该漏洞,使进程崩溃,从而导致DoS状态。该漏洞可以从VMware guest或VMware主机触发此漏洞,如果不使用Google的ANGLE,也可以通过Web浏览器利用WEBGL触发。
66.png

https://blog.talosintelligence.c ... mware-dos.html#more




               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 07:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表