1 安全厂商发布越南攻击组织APT32深入分析报告
安全厂商Cylance披露了越南APT组织APT32(又名"海莲花"、Cobalt Kitty)的定制后门程序、C&C协议、以及TTP。该组织通常利用受害系统中的PowerShell,通过单行指令从不同利用工具包(EK,包括MSFvenom、Veil、DKMC等)下载/部署恶意软件、混淆软件、反向PE/shellcode加载软件,使得大多数恶意软件在内存中执行,而不在硬盘留下痕迹(即LotL)。APT32的木马程序具有高度模块化特点。Cylance报告中分析了3个定制木马程序,并按啮齿类动物将其分别命名为Roland、Remy、Splinter。它们与卡巴斯基发现的Backdoor.Win32.Denis和火眼发现的WindShield及KOMPROGO有微妙的相似之处。其中Roland尤其特别,因为它具有模拟受害机构自己开发的合法软件DLL的特点。在C&C方面,APT32非常重视隐蔽性,通过PrivacyGuardian匿名化服务注册域名。其C&C协议具有针对目标高度定制的特点,支持从通过TCP套接字传输原始数据到HTTP/S代理的多种通信方法。此外,该组织还高度依赖CobaltStrike Beacon提供多样C&C通信。
https://threatvector.cylance.com ... -of-oceanlotus.html
SpyRATsofOceanLotusMalwareWhitePaper.pdf
(3.4 MB, 下载次数: 186)
2 安全公司发现针对意大利海军工业的新间谍活动
安全公司Yoroi CERT发现几起利用恶意软件MartyMcFly,针对意大利海军和国防工业的新网络间谍活动。MartyMcFly的名称来自VT平台报告的“Wild In First Seen in the Wild ”值以及攻击者利用工件中找到的元数据。攻击者使用电子邮件作为传播媒介,运用略有不同的社会工程技巧,冒充已知的海事工件和海军服务供应商,发送特制的EXCEL和PDF文档附件诱骗受害者打开,然后使用HTTP 301代码将其重定向到官方门户网站或插入虚假通信,不同分发活动的远程IP地址相同。可执行载荷是加密的,从一个已经仔细处理的钓鱼网站上下载,运用了反分析模式和技巧,以绕过所有调试检查规避检查,还使用开源远程管理工具QuasarRAT。目前还没有确定此活动的幕后组织。
https://blog.yoroi.company/?p=1829
3 黑客利用美国中期选举关键词开展SEO攻击运动
ThreatLabZ研究团队最近发现针对美国利用中期选举等关键词的SEO攻击运动。SEO攻击,也称为搜索引擎攻击,攻击者创建恶意网站或破解合法网站以生成宣传某些关键字的网页,以欺骗搜索引擎在搜索结果中获得更高的排名,通过关键字填充,隐藏文本的使用和隐藏真实内容等不同的方法来实现SEO中毒。在大约一个月的时间内,攻击者攻击了超过10,000个网站以推广15,000个不同的关键字。攻击者利用多重重定向模型MaaS(恶意软件即服务) 、特制的CSS(层叠样式表)和隐藏技术,根据Web请求中涉及的HTTP头,SEO URL将用户每次都多重定向到不同网站,包括成人网站、被推广服务的网站、政治和宗教网站和传播恶意载荷的服务器。
https://www.zscaler.com/blogs/re ... eo-poisoning-urls-0
4 安全厂商深入分析Java Usage Tracker中的漏洞
趋势科技深入分析了在Java Usage Tracker中发现的漏洞。作为JAVA中的一项功能,可以跟踪如何在安装它的系统中使用。该漏洞可以使攻击者创建任意文件,注入指定的参数并提升本地特权。反过来,可以将它们链接起来并用于升级特权,以便访问通常受保护或限制于其他应用程序或用户的受影响系统中的资源。通过 oracle.usagetracker.logToFile路径完成任意文件类型创建,通过 oracle.usagetracker.additionalProperties配置来执行参数注入,通过%ProgramData%/ Oracle / Java中的弱权限来完成本地特权提升。研究仅在Microsoft Windows环境中进行了测试,但其它系统也可能容易受到攻击。Oracle在10月份发布的补丁更新中,已修复该漏洞。
https://blog.trendmicro.com/tren ... ivilege-on-windows/
5 攻击者利用三个漏洞可以完全接管D-Link路由器
波兰西里西亚理工大学的BłażejAdamczyk在D-Link路由器中发现了5个漏洞,并提供了概念验证(PoC)代码。通过将其中的三个漏洞形成攻击链,攻击者可以完全接管D-Link路由器。第一个漏洞为CVE-2018-10822,Web界面中存在目录遍历漏洞,允许远程攻击者读取任意文件。第二个漏洞为CVE-2018-10824,密码以明文形式存储,可以访问密码文件夹并检查包含敏感信息的配置文件。第三个漏洞为CVE-2018-10823,httpd服务器中的shell命令注入错误,可以执行远程代码注入。Adamczyk已在5月的通报给D-Link,然而该供应商仍没有修复上述漏洞。
https://threatpost.com/multiple- ... mple-attack/138383/
6 RPCBIND上运行的百万台服务器可受DDoS攻击
巴西安全公司XLabs的研究员MauricioCorrêa发现,存在于RPCBIND服务上的Oracle漏洞,可导致运行在此服务的230万台服务器遭受DDoS攻击。RPCBIND是一种软件,它为客户端程序提供有关网络上可用服务器程序所需的信息,该服务运行在端口111上。研究人员称仅在一台XLabs服务器上进行的概念验证(POC)就产生了每秒69千兆位的流量。在6月份,XLabs监测到来自其它国家的几台服务器的111端口中,DDoS攻击正在进行。Oracle已在16日的补丁更新中修复了该漏洞。
https://securityaffairs.co/wordp ... w-ddos-attacks.html
|
发表于 2018-10-18 20:31
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡