1 DanaBot银行木马与GootKit合作扩展新功能
ESET研究表明,DanaBot银行木马一直在扩展其范围外的功能,幕后的攻击组织近日对新的电子邮件地址收集和垃圾邮件发送功能进行测试,并且与GootKit高级隐形银行木马背后的罪犯团伙合作,目前能够滥用现有受害者的网络邮件帐户进行进一步的恶意软件分发。研究人员分析了2018年9月针对意大利网络邮件服务用户攻击活动,其网页注入JavaScript具有两个主要特征:DanaBot从现有受害者的邮箱中收集电子邮件地址;目标Webmail服务基于Open-Xchange套件,则注入能够使用受害者邮箱将垃圾邮件发送到收集电子邮件地址的脚本。攻击者对包含字符串“pec”(归属于意大利)的电子邮件地址感兴趣。电子邮件包括从攻击者服务器预先下载的ZIP附件,其中包含诱饵PDF文件和自动生成的恶意VBS文件。VBS文件指向GootKit的下载器模块,执行后将使用PowerShell命令下载更多恶意软件。研究人员还发现DanaBot部分配置与Tinba、Zeus相似,一些脚本与BackSwap木马包括在命名规范、所在服务器位置等几乎完全相同。
https://www.welivesecurity.com/2 ... ng-trojan-new-spam/
2 安全厂商披露对东欧银行的DarkVishnya攻击
卡巴斯基在2017年到2018年期间发现未知设备直接连接到目标网络基础设施,从内部网络进行的攻击,将此类攻击称为DarkVishnya。目前至少攻击东欧8家银行,估计造成数千万美元的损失。攻击可大致分为几个阶段:第一阶段,网络犯罪分子假冒快递员,求职者等为进入组织的大楼,并将设备连接到本地网络,设备包括上网本或廉价笔记本电脑、树莓派电脑、Bash Bunny(一种用于执行USB攻击的特殊工具)。第二阶段,攻击者远程连接到设备并扫描本地网络,以寻求访问公共共享文件夹,Web服务器和任何其它开放资源。同时通过网络嗅探或暴力破解获取数据,并在本地TCP服务器植入shellcode以克服防火墙。第三阶段,登录目标系统并使用远程访问软件来保留访问权限,在受感染的计算机上启动使用msfvenom创建的恶意服务,实现使用无文件和PowerShell攻击。
https://securelist.com/darkvishnya/89169/
3 威胁组织TA505使用个性化附件攻击美国零售业
12月3日,Proofpoint研究人员发现TA505组织针对零售、杂货和连锁餐厅的攻击活动,攻击者发送了数以万计的邮件,并为每个受害者制定了个性化附件,这是TA505以前没有使用的技术。主题据称为打印机发送并包含扫描文档,附件文档包含宏,如果启用,则下载并执行MSI文件,然后安装包含自定义C&C地址的设置文件的远程操纵器系统(RMS)和FlawedAmmyy等。TA505是过去两年中最大的Dridex和Locky勒索软件活动的幕后推手,最近与RAT和下载程序的分发有关。
https://www.proofpoint.com/us/th ... nalized-attachments
4 安全厂商发布Kelihos僵尸网络归因及分析报告
CrowdStrike发布了针对Kelihos僵尸网络和其幕后组织ZOMBIE SPIDERC的总结分析报告。Kelihos起源于2007年,是对等僵尸网络中现存最大,运营时间最长的网络犯罪基础设施之一。Kelihos主要通过分发自定义消息模板的垃圾邮件进行传播,针对不同的犯罪目的提供不同的插件。使用者通常使用社会工程和漏洞利用工具包分发Kelihos可执行文件,可执行文件使用了多个第三方库,包括Crypto ++、Boost库、WinPcap库。过程中使用多种混淆方法包括多层加密,包括RSA,Blowfish和自称为“monkey”功能的自定义算法。受感染的机器形成具有分层体系结构的对等网络,分别为作业服务器、路由器节点和工作者节点,对等消息主要有两种类型,对等列表和作业。每个Kelihos都有一个硬编码的域名“golden parachute domain”(黄金降落伞域),帮助僵尸网络重新获得对等网络的访问权限。除了分发其它多种恶意软件外,Kelihos还可具备DDoS攻击、挖矿、Fast-Flux DNS和SOCKS5托管服务、USB传播、FTP帐户收获、网络数据包捕获、点击欺诈、IP地址黑名单等功能。Kelihos幕后组织ZOMBIE SPIDERC的主要黑客为Peter Yuryevich LEVASHOV,绰号Peter Severa或Severa,已经在西班牙被捕,Levashov是几个俄罗斯地下论坛的成员。该组织与俄罗斯政府存在关联性,并为俄罗斯召集网络安全人才。目前Kelihos僵尸网络现在处于非活动状态且不再受ZOMBIE SPIDER的控制。
https://www.crowdstrike.com/blog ... -and-zombie-spider/
5 研究人员发现WordPress大规模僵尸网络活动
WordPress安全公司Defiant发现由超过2万个WordPress网站组成的僵尸网络,正在攻击其它WordPress网站,攻击尝试对其它WordPress网站进行暴力破解,通过XML-RPC身份验证以访问特权帐户。攻击者使用一组四个C2服务器,向一个俄罗斯代理提供商提供的超过14,000个代理服务器发送请求,使用代理以匿名C2流量。请求通过代理服务器并发送到20,000多个受感染的WordPress站点。这些网站正在运行攻击脚本,目标为WordPress网站。目前受感染的WordPress网站以及控制它们的C2网站仍在线,可能被其他攻击者利用,Defiant正与执法部门合作解决此问题。
https://www.wordfence.com/blog/2 ... ttacking-wordpress/
6 未受保护的MongoDB暴露了6600万个人数据
研究人员在未受保护的数据库中发现超过6600万个人的信息,这些信息包括姓名、电子邮件地址、用户的位置详细信息、电话号码和工作经历,看起来像是LinkedIn个人资料中的数据。研究人员最初在10月份发现了名为database的数据库,包含4900万条记录。此外还有两个数据库,其中一个属于佛罗里达州的一家公司,有2200万条记录,包括电子邮件地址、姓名以及找工作的地区。另一个数据库包含有4800万条记录,包括姓名、工作电子邮件地址、电话号码和员工详细信息。
https://www.bleepingcomputer.com ... data-of-66-million/
|
发表于 2018-12-7 21:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡