1 安全厂商披露针对巴基斯坦的APT组织新活动
Cylance威胁情报团队发现可能是国家赞助的新APT组织,名为The White Company,与目前已发现的APT组织都没有联系。该组织最近一年致力于开展针对巴基斯坦政府和军队的间谍活动,尤其是巴基斯坦空军。研究人员将此活动称为Shaheen。该活动分为两个阶段,2017年11月进行第一阶段,该组织使用了旧漏洞 CVE 2012-0158,以及现成的攻击工具。攻击者分发钓鱼邮件,使用shellcode技术利用漏洞下载恶意软件,恶意软件托管在外部网站上。
从12月开始的第二阶段一直持续到2018年2月。第二阶段的标志是使用高度先进的定制漏洞CVE-2015-1641,依然使用shellcode技术,网络钓鱼诱饵文件包含有效载荷 。有效载荷投放远程访问木马。恶意软件有效规避了至少八种不同的防病毒产品,Sophos、ESET、卡巴斯基、BitDefender、Avira、Avast!、AVG和Quick Heal。该组织还有一系列方法躲避检测,在漏洞利用中有四种不同的方法检查恶意软件是否在研究人员的系统上,能够清理Word并发布诱饵文件以减少怀疑,以及能够将自身从受感染主机上完全删除。恶意软件使用五种不同的混淆(打包)技术,将最终有效负载层层混淆。此外,恶意软件还使用受损或不可追溯的网络基础设施进行命令和控制。
https://pages.cylance.com/en-us- ... ort-pdf-viewer.html
White Company Operation Shaheen Report.pdf
(4.47 MB, 下载次数: 49)
2 安全厂商发现APT组织针对韩国的新攻击活动
ESRC于2018年10月31日发现了一些针对韩国的最新APT攻击的恶意文件。此次攻击将被命名为Operation Mystery Baby,研究发现与4月19日的Operation Baby Coin攻击相关联。Operation Baby Coin攻击利用CVE-2017-11882漏洞分发鱼叉钓鱼邮件,恶意代码从受感染的计算机窃取键盘记录和各种数据,并将其发送到韩国的特定服务器。Operation Mystery Baby攻击则使用了与其相同的策略,将收集的信息发送到韩国的两个网站。
http://blog.alyac.co.kr/1963
3 BlackTech组织的最新TSCookie木马配置不当
TSCookie是攻击组织BlackTech使用的恶意软件。攻击在2018年8月左右发生,日本CERT研究人员发现该恶意软件有更新。在之前的版本中,TSCookie在Cookie标头中包含加密内容来与C&C服务器进行通信。新版本中,其不再使用Cookie进行标记。相反,加密内容放在URL参数中。通信功能与之前的TSCookie相同,对于加密,仍然使用RC4,但密钥的生成方式不同。TSCookie在配置开始时有4字节RC4密钥,用于解码。在新版本中,大小扩展到0x80字节。此更新使TSCookie无法读取部分配置。
https://blogs.jpcert.or.jp/en/2018/11/tscookie2.html
4 安全厂商发布APT-C-06组织另一网络武器库分析
研究人员发现第四个vbscript 0day漏洞,该漏洞存在于vbscript!rtJoin函数中,VbsJoin函数会调用rtJoin,rtJoin首先遍历传入的数组中的每个元素,并计算拼接后的字符串总长度(包括拼接字符,默认为unicode空格0x0020)。然后调用SysAllocStringLen分配相应的空间,用于保存拼接后的字符串。研究人员对四个vbscript漏洞的shellcode进行了关联分析,发现cve-2016-0189、本次漏洞和cve-2018-8174所用的shellcode除配置的CC外基本一致,cve-2018-8373的shellcode略有不同,但也非常相似,由此推测本次漏洞也是APT-C-06(又名Darkhotel)武器库中的一个。
https://www.anquanke.com/post/id/164092
5 Steam视频游戏商店漏洞允许无限次免费下载
研究人员在Steam视频游戏商店上发现了一个漏洞,任何人都可以利用该漏洞在不付费的情况下生成许可证密钥。研究人员发现Steam合作伙伴网站允许游戏工作室为其软件生成许可证密钥,因此他们可以将副本提供给用户或记者进行审核。但是他发现修改请求可以为想要的任何游戏生成数千个代码,他改变一个参数设法绕过了对游戏所有权的验证。研究人员将该漏洞报告给Steam,目前该漏洞已被修复。
https://www.bbc.com/news/technology-46183000
6 思科ASA安全产品中的拒绝服务漏洞存在威胁
最近,思科正式发布了安全公告,以修复自适应安全设备(ASA)和Firepower威胁防御(FTD)软件中的拒绝服务(DoS)漏洞(CVE-2018-15454)。Cisco ASA和FTD使用的会话初始协议(SIP)检查引擎中存在此漏洞。未经授权的攻击者可能会远程利用此漏洞导致受影响的设备重新加载或触发高CPU使用率,从而导致设备拒绝服务。如果启用了SIP检查并且软件在3000系列工业安全设备(ISA)、ASA 5500-X系列下一代防火墙、适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块、自适应安全虚拟设备(ASAv)、Firepower 2100系列安全设备、Firepower 4100系列安全设备、Firepower 9300 ASA安全模块
FTD虚拟(FTDv)产品上运行,则此漏洞会影响Cisco ASA软件版本9.4及更高版本以及Cisco FTD软件版本6.0及更高版本。禁用SIP检测、阻止进攻性主机、检测0.0.0.0的发送地址、限制SIP流量大批可以解决此问题。
https://blog.nsfocusglobal.com/t ... 15454-threat-alert/
|
发表于 2018-11-13 21:37
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡