设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181201)
返回列表 发新帖

每日安全简讯(20181201)

[复制链接]
发表于 2018-11-30 21:52 | 显示全部楼层 |阅读模式
1 APT28组织利用脱欧主题邮件传播Zekapab木马

随着英国首相特蕾莎·梅与欧盟(EU)签订脱欧协议草案, iDefense研究人员发现了一项由SNAKEMACKEREL(APT28)组织发起的新活动,攻击者分发以英国脱欧(brexit)为主题的诱饵文件,诱骗用户启用宏,用于投放Zebrocy(Zekapab)第一阶段恶意软件。下载的宏组件包含一个名为AutoClose()的函数和通过Base64编码字符串嵌入的两个有效载荷,一个是可执行的二进制文件,另一个是.docm文件,二进制文件使用Delphi编写。恶意软件使用HTTP POST将收集的系统信息发送到指定的C2服务器。
 1.jpg

https://www.accenture.com/us-en/ ... ers-zekapab-malware

2 巴西金融恶意软件感染拉丁美洲和欧洲银行客户

Cybereason的Nocturnus团队分析了许多与巴西金融恶意软件相关的广告活动,这些来自巴西的恶意软件普遍针对拉丁美洲、西班牙和葡萄牙的近十几个国家的60多家银行的网上银行客户。尽管恶意软件最终有效载荷存在差异,但研究人员确定了涉及巴西金融恶意软件的大多数攻击普遍具有三个关键阶段。多阶段交付基础架构可帮助攻击者将检测风险降至最低。通过实施各种规避技术,攻击者可以成功绕过基于签名/启发式的引擎,从而确保最终恶意软件的投递。研究人员通过观察了各个广告系列共享的工具,技术和程序(TTP)找到了一些共性:(1)将社会工程作为切入点;(2)通过URL缩短器进行多次重定向以及使用动态DNS服务;(3)托管在合法在线存储服务和CDN(内容交付网络)上的有效载荷;(4)使用命令行日志记录规避的混淆PowerShell下载程序;(5)滥用微软签署的二进制文件;(6)通过DLL劫持滥用受信任的应用程序;(7)将主有效载荷拆分为两个或多个组件。
 2.png

https://www.cybereason.com/blog/ ... urope-south-america

3 新恶意软件CARROTBAT被用于攻击朝鲜半岛

Unit 42研究人员发现针对韩国和朝鲜地区的钓鱼邮件,诱饵文件主题通常是加密货币和政治事件。CARROTBAT恶意软件最初是在2017年12月针对英国政府机构的一次攻击活动中被发现的,攻击者向英国政府机构的高级别工作人员发送鱼叉式钓鱼邮件,附加文档利用DDE漏洞执行代码。CARROTBAT是一个投放器,攻击者可以利用该投放器下载并打开一个嵌入式诱饵文件,然后下载并运行一个有效载荷。恶意软件支持11种诱饵文档文件格式。研究人员表示CARROTBAT和KONNI恶意软件系列之间存在基础设施重叠。
 123.png

https://researchcenter.paloalton ... ing-southeast-asia/

4 PowerShell Core可被攻击者用于跨平台攻击

2018年1月,微软宣布推出PowerShell Core,这是PowerShell的跨平台和开源版本。虽然它目前正处于开发阶段,但同样存在很大的风险,与PowerShell一样,攻击者可能利用PowerShell Core破坏Windows,甚至其他平台。PowerShell Core可以安装在运行Windows 7及更高版本操作系统,Linux(Kali,Fedora 27/28,Ubuntu等),macOS 10.12+(Sierra和更高版本操作系统),Windows IoT和Nano Server。Windows场景下,感染链始于垃圾邮件中附带的恶意文档。启用文档的宏内容后,将运行命令行以及PowerShell Core脚本以下载并执行预期的有效载荷。PowerShell Core也可以与其他合法或灰色工具一起使用。研究人员测试了加密货币挖矿开源项目MultiPoolMiner,它需要PowerShell Core才能正常运行。Linux和mac OS场景下,攻击者只需创建PowerShell脚本即可完成下载和执行预期的最终有效载荷。通过终端执行的PowerShell脚本脚本会下载一个PowerShell Core脚本,脚本能够检索最终有效载荷并将其属性修改为"可执行"。
 4.jpg

https://blog.trendmicro.com/tren ... and-best-practices/

5 Zoom桌面会议应用中存在未授权命令执行漏洞

Tenable研究人员在Zoom的桌面会议应用程序中发现了一个漏洞CVE-2018-15715,该漏洞允许Zoom执行未经授权的命令,例如冒充会议中其他用户发送虚假聊天消息、劫持屏幕控制以及将与会者踢出会话并且将其锁定。此攻击不仅可以由Zoom会议的与会者执行,非与会者也可以通过虚假UDP数据包加入UDP会话并利用该漏洞。如果攻击者能够欺骗UDP数据包中的公共IP源,理论上可以通过WAN利用此漏洞。研究人员发布了此漏洞的概念验证(PoC)。超过750,000家公司使用Zoom视频通信平台,因此影响是巨大的。此漏洞会影响macOS 10.13、Windows 10、Ubuntu 14.04的Zoom版本。
 5.png

https://www.tenable.com/blog/ten ... tion-cve-2018-15715

6 Nuuo摄像头固件被发现远程代码执行漏洞

研究人员在Nuuo的监控固件中发现了零日漏洞,该漏洞是一个未经身份验证的远程缓冲区溢出漏洞,攻击者可以利用该漏洞获得root权限并在受影响的系统上执行任意代码,从而配置摄像机的设置并控制其录制和反馈。漏洞会影响使用Nuuo NVRmini2固件版本3.9.1及更早版本的所有产品。Nuuo已发布针对该漏洞的补丁,用户可以在Nuuo的网站下载。
 6.png

https://cyware.com/news/hackers- ... te-footage-2cbe9bf9


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:42

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表