设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181209)
返回列表 发新帖

每日安全简讯(20181209)

[复制链接]
发表于 2018-12-8 20:33 | 显示全部楼层 |阅读模式
1 研究人员揭示MuddyWater攻击活动感染链

Yoroi-Cybaze Zlab研究人员对近期APT组织MuddyWater针对土耳其、黎巴嫩和阿曼的攻击活动,揭示了其感染链。攻击初始使用包含模糊文档的鱼叉式网络钓鱼电子邮件,受害者启用恶意宏,将创建一个包含执行下一阶段恶意代码的Excel文档,并显示版本不兼容消息。新Excel宏从URL中下载powershell代码,创建三个新的本地文件:包含Javascript代码的temp.jpg,为了延迟执行另一个PowerShell载荷;包含编码的Visual Basic脚本的Windows.vbe;包含加密的最终有效载荷POWERSTATS后门程序的Microsoft.db。最后通过HTTP POST请求与C2通信发送受害者机器信息并远程执行命令。POWERSTATS使用了多个简单持久性机制,包括设置冗余注册表、创建“ MicrosoftEdge ” 的计划任务。此攻击链展现了攻击组织如何利用系统工具和脚本语言来实现目标,在目标主机中保持立足点并渗透数据的案例。
 schema.png

https://blog.yoroi.company/resea ... er-infection-chain/

2 Linux Rabbit攻击多国Linux服务器和IoT设备

Anomali Labs网络威胁研究人员发现了名为“Linux Rabbit”的新恶意软件。该恶意软件活动始于2018年8月并持续到10月,针对俄罗斯,韩国,英国和美国地区,活动中使用了两种共享相同代码库的恶意软件Linux Rabbit和变种Rabbot,Linux Rabbit感染目标为Linux服务器,内置killswitch。Rabbot带有自我传播的蠕虫功能,可利用CVE-2018-1149、CVE-2018-9866等漏洞,还可感染物联网(IoT)设备,二者主要功能有使用Tor网关建立与C2服务器的连接、通过rc.local和.bashrc文件设置持久性、SSH暴力破解查看地理位置、安装挖矿工具到目标服务器和设备上,其中工具类型取决于机器体系结构,x86安装CNRig Monero,ARM​​ / MISP、Web服务器安装CoinHive。
 Linux_Rabbit_Rabbot_Malware__1000_523.jpg

https://www.anomali.com/blog/pul ... alware-out-of-a-hat

3 新Mac恶意软件使用EmPyre后门和XMRig

Malwarebytes发现结合EmPyre后门和XMRig挖矿工具的新Mac恶意软件。该恶意软件通过虚假的Adobe Zii应用程序(盗版的Adobe软件)进行分发,其实际为shell脚本,此脚本下载并执行Python脚本,下载并运行用于欺骗用户的sample.app,其实际为Adobe Zii的一个版本。Python脚本检测无Little Snitch出站防火墙后,打开与EmPyre后端的连接,将任意命令发送到受感染的Mac,下载安装XMRig等恶意软件的组件,通过创建启动代理运行简单混淆的Python脚本保持持久化运行。研究人员称挖矿工具会使计算机速度变慢,但无法确切知道此恶意软件可能对受感染系统造成的损害。
 DarthMiner-dropper-600x314.png

https://blog.malwarebytes.com/th ... or-and-xmrig-miner/

4 Sextortion骗局开始通过重定向分发勒索软件

Sextortion活动骗局为攻击者发送勒索电子邮件,声称掌握了收件人的信息,并添加了密码和收件人相关的信息以增加可信性,要求支付比特币,否则将要揭露一系列观察到的对收件人不利的信息。然而Proofpoint研究人员在12月5日观察到sextortion活动中的电子邮件开始包含链接到AZORult窃取程序的url,最终导致感染GandCrab5.0.4版的勒索软件,要求支付500美元的比特币或达世币。此次活动针对数千的美国用户,利用受害者的恐惧和不安全感,将多层社会工程结合起来以实现最终的感染。
 ssf1.png

https://www.proofpoint.com/us/th ... ion-side-ransomware

5 Rockwell自动化产品严重漏洞可致DoS攻击

ICS-CERT发布报告,表示美国Rockwell(罗克韦尔)的自动化MicroLogix控制器和ControlLogix通信模块存在严重漏洞,可导致DoS(拒绝服务)攻击。该漏洞被追踪为CVE-2018-17924,存在A,B和C系列的MicroLogix 1400控制器和1756 ControlLogix以太网/IP通信模块的多种版本的A、B、C、D系列。受影响的产品在全球范围内用于运输,关键制造,食品和农业以及水和废水等行业,允许远程和未经身份验证的攻击者使受影响的设备进入DoS状态。罗克韦尔已为部分受影响产品发布固件更新,但对于另一部分只提供了缓解措施。
 Micrologix_controller.jpg

https://www.securityweek.com/vul ... rollers-dos-attacks

6 Redwood眼科中心患者信息遭勒索软件加密

美国Redwood(红木)眼科中心发布公告称,其医疗记录数据库的第三方供应商IT Lighthouse遭遇勒索软件攻击,存储在服务器上的16,000名加利福尼亚患者的个人信息被入侵,信息包括患者姓名,地址,出生日期,健康保险信息和医疗信息。目前红木眼科中心已通知用户并称正在采取措施提高患者信息的安全性。
 unnamed.jpg

https://www.scmagazine.com/home/ ... -records-encrypted/
Redwood - AG Notification - California 12.6.18_0.pdf (297.77 KB, 下载次数: 36)


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:43

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表