设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181121)
返回列表 发新帖

每日安全简讯(20181121)

[复制链接]
发表于 2018-11-20 21:46 | 显示全部楼层 |阅读模式
1 研究人员发现APT29最新活动中使用的恶意软件

11月16日,APT29组织针对美国政府和私营部门进行了大规模鱼叉式网络钓鱼活动。攻击目标涉及防务、图像、执法、地方政府、媒体、军事、制药、智库、运输和美国公共部门行业等多个领域。Yoroi研究人员发现一种新的恶意软件,与APT29的此次攻击有关。攻击者发送鱼叉式网络钓鱼邮件,附件是一个zip文件,文件只包含一个链接(.lnk)文件。当受害者双击链接文件时,会运行Powershell命令,使用该命令从.lnk文件的隐藏部分中提取另一个Powershell脚本。该脚本提供两个新文件:合法的pdf文档(ds7002.pdf)和可能包含实际有效负载的dll文件(cyzfc.dat)。DLL被写入“%APPDATA%\ Local”,并通过Powershell命令启动。它尝试联系C2地址并使用HTTPS协议与此站点进行交互。C2目前已关闭,该组织乎没有使用任何技术来获得受感染系统的持久性。
 1.png

https://securityaffairs.co/wordp ... lware-analysis.html

2 安全厂商披露Outlaw组织使用的两种僵尸网络变体

趋势科技研究人员发现Outlaw组织使用的IRCbot试图在其IoT蜜罐上运行脚本,从而发现了两种变体。第一个变体中使用的脚本有两个功能:挖矿和基于Haiduc的投放器。挖矿部分的代码也有两种形式。一个是纯文本bash / Perl脚本;另一个是混淆的Perl脚本变体,可以避免内容检查入侵防御系统(IPS)/防火墙的检测。挖矿软件利用能够在Linux和Android上运行的二进制文件下载到受害者计算机上,并开始挖掘Monero加密货币。如果在目标系统中找到其他挖矿软件,则会先将其清除然后下载自身。这意味着这里的僵尸程序能够从不相关的僵尸网络中劫持其他僵尸程序的挖矿活动。成功后,挖矿软件会通过被入侵网站向攻击者报告。
第二个变体主要用于暴力破解并进一步利用Microsoft远程桌面协议和云管理cPanel以升级特权。
 2.png

https://blog.trendmicro.com/tren ... ng-and-brute-force/

3 安全厂商发布银行木马Ursnif的最新活动分析

Ursnif银行木马是一种长期活跃的恶意软件,可追溯到2007年。大多数分析文件都针对意大利语用户,研究人员还确定了俄罗斯、乌克兰、荷兰和美国的恶意软件下载地点。攻击者发送钓鱼邮件,一些DOC 文件要求用户启用宏,如果用户已经启用宏,打开文档时会自动启用宏,否则需要点击“启用内容”执行恶意代码。每个下载的样本在交付之前都是自动修补的,这样每个二进制文件都会提供一个独特的哈希:可能是一种绕过简单的基于哈希的IOC指标的规避技术。
 3.jpg

https://reaqta.com/2018/11/ursni ... g-latest-campaigns/

4 黑客利用Make-A-Wish基金会网站挖掘加密货币

Make-A-Wish International是美国Make-A-Wish基金会的全球分支机构。Trustwave的研究人员在Make-A-Wish International的网站上发现了CoinIMP挖掘脚本,利用网站访问者的计算能力将挖掘加密货币。CoinIMP挖矿软件基于JavaScript,研究人员攻击利用了Drupal在线发布平台的未修补实例和 3月份修补的Drupalgeddon 2漏洞。
 4.jpg

https://threatpost.com/cryptojac ... ion-website/139194/

5 TP-Link TL-R600VPN中存在多个远程执行漏洞

TP-Link生产许多不同类型的小型和家庭办公室(SOHO)路由器,研究人员在TP-Link TL-R600VPN路由器中发现多个远程代码执行漏洞。TL-R600VPN HTTP服务器的URI解析功能中存在可利用的拒绝服务漏洞CVE-2018-3948。如果在任何易受攻击的页面上进行目录遍历(非文件),则Web服务器将进入无限循环,使管理账户不可用。此请求不需要进行身份验证。TL-R600VPN的HTTP服务器功能中存在可利用的信息泄露漏洞CVE-2018-3949,如果标准目录遍历与“帮助”的基页一起使用,则遍历不需要身份验证,并且可以读取系统上的任何文件。TL-R600VPN HTTP服务器的ping和traceroute功能中存在可利用的远程执行代码漏洞CVE-2018-3950,通过向“ping_addr”字段发送大量数据可造成堆栈的缓冲区溢出,从而导致远程代码执行或设备HTTP服务器崩溃。TL-R600VPN HTTP服务器的HTTP头解析功能中存在可利用的远程执行代码漏洞。当路由器处理长于预期的GET请求时,这会产生溢出情况。
 5.png

https://blog.talosintelligence.com/2018/11/tplinkr600.html

6 AMP for WP插件中漏洞允许注册用户权限升级

AMP for WP 插件中存在漏洞,允许任何注册用户升级其权限以获得对该站点的管理访问权限。AMP for WP是一个插件,可将WordPress帖子转换为Google的加速页面格式,从而可以提升页面加载速度。许多WordPress用户使用此插件向访问者提供AMP页面。该漏洞是由插件未正确使用WordPress nonce和各种管理功能中的current_user_can()函数引起的。这些漏洞已在版本0.9.97.20中修复,可通过WordPress的自动更新功能获得。
 6.jpg

https://www.bleepingcomputer.com ... ccess-to-wordpress/


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 06:32

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表