设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181203)
返回列表 发新帖

每日安全简讯(20181203)

[复制链接]
发表于 2018-12-2 20:59 | 显示全部楼层 |阅读模式
1 TA505针对多个国家开展Pied Piper网络钓鱼计划

Morphisec实验室的研究人员发现在多个国家传播FlawedAmmyy和RMS RAT的网络钓鱼活动,目标是供应商与多家知名食品连锁店,研究人员称其为“Pied Piper”活动。基于对元数据的分析,研究人员认为幕后的威胁组织为TA505。“Pied Piper”活动使用伪装成发票的.pub和.doc文档,其内容使用带有针对性语言,包括西班牙语、德语等,启用宏后,将安装执行下一阶段的计划任务,旨在破坏AV保护的策略,然后,该任务执行PowerShell命令,该命令以名为MYEXE的可执行文件的形式下载包含下载程序的MSI安装程序。此下载程序在受感染的计算机上搜索AV解决方案,然后将主要载荷下载为临时文件。FlawedAmmyy RAT可以完全访问受害者的PC,窃取信息并横向移动,RMS RAT可分析代码中的异常。截至文章发布时,攻击仍在继续。
 1543744185(1).png

https://blog.morphisec.com/morphisec-uncovers-pied-piper-campaign

2 Golden Chickens新成员组织与Cobalt存在关联性

QuoScient的情报运营团队(QuoINT)发现了恶意软件即服务(MaaS)提供商Golden Chickens家族的两个新成员组织GC01和GC02,并与Cobalt组织在TTP上存在大量重叠。GC01和GC02使用用于制作提供攻击的文档的Venom和Taurus构建工具包、用于完全控制受感染的计算机的more_eggs(又名Terra Loader,SpicyOmelette)后门,来提供特定的MaaS。在2017年11月至2018年7月期间,GC02的五次鱼叉式网络钓鱼攻击中,至少针对在印度和美国的公司和组织。由于使用了相同的MaaS供应商,GC02和Cobalt group的TTPs和基础设施在2018年5月出现严重重叠。在2018年8月到10月之间,GC01的九次鱼叉式网络钓鱼攻击中,针对金融行业的多家公司和组织,并在整个活动中安装了多个远程访问工具(RAT)变体。
 1_irO1qVlzmFq1q-R_jLxekw.png

https://medium.com/@quoscient/go ... -using-61cf0cb87648
Golden Chickens_ Uncovering A Malware-as-a-Service (MaaS) Provider and Two New T.pdf (171.32 KB, 下载次数: 53)

3 研究者发现针对CAD文档的恶意代码已感染多国

ForcePoint研究人员发现了针对计算机辅助设计程序CAD的恶意软件,并注意到攻击者已在一些大项目上使用明显已经被盗的设计文件作为诱饵,恶意利用AutoCAD所带的基于LISP的自定义脚本的自动加载功能(此功能类似于office宏),其在应用程序启动或加载项目文件时执行。用户打开后将执行恶意脚本FAS文件,脚本是一个利用基本混淆技术的简单下载程序,目前已发现3个版本的下载程序。研究人员通过C2的调查表明大多数受感染的机器出现在中国,印度,土耳其和阿联酋,攻击领域主要为能源、汽车行业。
 201811_autocad_figure5.png

https://www.forcepoint.com/blog/ ... omputer-aided-theft

4 Mykings僵尸网络变种利用FTP漏洞感染学校和企业

近期,腾讯御见威胁情报中心监测到Mykings僵尸网络新活动,开始使用存在CVE-2015-7768的FTP漏洞进行传播,感染了许多学校和企业。部分版本依然使用之前的SMB协议进行传播,如永恒之蓝漏洞和SMBClient。本次感染使用极其复杂的加密和混淆的ps1脚本进行,而且无PE文件落地,更大程度上规避免杀和安全软件的检测。研究人员从C&C域名检测看出,该变种的活跃始于11月初。
 1543747677(1).png

https://mp.weixin.qq.com/s?__biz ... 2fef829ff65b2bb2155

5 莫斯科新缆车服务的系统被黑客入侵感染勒索软件

莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件,黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。这不是第一次公共交通受到勒索软件的影响。2016年11月,旧金山公共交通系统中的许多计算机,包括支付系统,感染了HDDCryptor勒索软件。
 cable-car.jpg

https://www.bleepingcomputer.com ... day-after-it-opens/

6 Rowhammer:利用DRAM模块缺陷的新型网络攻击

Rowhammer是一种新型的网络攻击,它利用了2010年及以后制造的DRAM模块的缺陷。攻击技术是通过快速写入和重写存储器进行启动,反过来会在DRAM中引起电容器错误并导致数据损坏。阿姆斯特丹Vrije大学VUSec实验室的专家团队发现Drammer的攻击可能允许攻击者使用DRAM获得对数百万Android智能手机的root访问权限。Rowhammer在发展中不断进行版本更新,包括针对LAN中系统的Rowhammer攻击、远程的Nethammer攻击和最新的可用于绕过纠错码(ECC)保护的ECCploit攻击。
 shutterstock_172463297.jpg

https://cyware.com/news/rowhamme ... of-attacks-7baa0a3c


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:34

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表