1 Charming Kitten开展新的网络钓鱼攻击活动
Certfa研究人员发现了伊朗APT组织Charming Kitten的回归活动。在2018年10月初,Charming Kitten攻击了美国金融机构,可能是对美国制裁伊朗的反击。之后扩大了攻击范围,针对参与对伊朗伊斯兰共和国的经济和军事制裁的人以及世界各地的政治家、公民和人权活动家以及记者开展网络钓鱼攻击活动。攻击者首先搜集目标信息,通过未知或公众人物的电子邮件或社交媒体和短信帐户,发送虚假警告或Google云端硬盘上的假文件共享,通过存在的恶意链接、可点击的虚假图像和隐藏跟踪图像,将用户重定向到在Google域上创建虚假页面和自定义的虚假谷歌和雅虎网站,并要求用户提供两步验证码以更好地欺骗并窃取信息,并且不更改受害者账户密码以实现持久化的实时监控通信。研究人员表示在2018年9月至11月,攻击者已使用20多个虚假域名,使用vpn和荷兰、法国IP地址代理来隐藏来自伊朗的IP。
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
2 安全厂商发布恶意软件Shamoon 3分析报告
Paloalto研究人员对12月10日上传到VT平台的恶意软件变种Shamoon 3进行了技术分析。样本为Disttrack释放器,包含两个嵌入式的安装通讯和擦除模块和一个x64变体资源包,通过查找特定的偏移量并读取特定数量的字节作为密文的长度来提取模块,然后使用XOR密码和特定base64编码字符串来解密,访问密文之前从指定的偏移量中减去14。擦除模块使用由ElDos命名为RawDisk合法驱动器进行擦除。硬编码擦除触发时间设置为2017年12月7日23:51,可以在此日期之后的任意时间内开始攻击。通信模块使用带有名为'selection'的参数的URL,后跟系统信息和'averbh_noav.pnf'文件的内容,利用'Mozilla/13.0'用户代理进行通信。与以往版本不同的是,它不包含任何域,用户名或密码,以至于无法传播到本地网络上的其它系统,并且不用图像覆盖文件以擦除数据,而是随机生成的数据覆盖系统上的MBR,分区和文件。意大利石油公司Saipem表示最近所受的攻击与Shamoon 3有关,但目前无法具体确认。
https://researchcenter.paloalton ... l-gas-organization/
3 研究人员针对TSB泄露的Tildeb工具进行分析
趋势科技针对2017年4月14日影子经纪人(TSB)泄露黑客工具集中,名为clocksvc.exe的独立植入工具进行了技术分析。研究人员将此植入物称为Tildeb。Tildeb在2000年开发,已存在18年之久,但之前重未被关注。Tildeb为不同代码片段集合组成,并存在许多程序错误,针对的是Windows NT 4.0操作系统和Microsoft Exchange Server,位于ExpandingPulley(EP)的主文件夹中,以名称~debl00l.tmp创建唯一的临时文件。代码不包含任何混淆和持久性功能,但具有特定的行为和例程来终止和删除自身以保持隐藏,例如故障感知线程,负责清理代码中的特定操作以及整个程序生命周期。Tildeb核心功能为支持控制命令,包括删除文件、维护与C2的连接、上传文件到C2、检索受感染系统中的文件和文件夹列表、将恶意代码注入特定Exchange服务器进程。研究人员表示可以与其硬编码IP地址的成功通信,说明该工具目前处于活跃状态。
https://blog.trendmicro.com/tren ... hadow-brokers-leak/
tech-brief-tildeb-analyzing-the-18-year-old-implant-from-the-shadow-brokers-leak.pdf
(814.73 KB, 下载次数: 39)
4 新macOS后门EmPyre利用屏幕截图窃取数据
Malwarebytes研究人员发现新macOS恶意软件,被伪装成游戏玩家的Discord消息传递应用程序的副本,Discord的副本实际为Automator脚本,没有任何作用。该脚本适合于屏幕截图,它解码并执行Python有效载荷EmPyre后门,然后开始重复拍摄屏幕截图并上传到C&C服务器。Discord与近期发现的DarthMiner存在相似之处,都以Automator applet的形式分发,两个applet都运行Python脚本,并且都使用EmPyre后门。
https://blog.malwarebytes.com/th ... are-drops-december/
5 法国外交部Ariane紧急服务数据库遭黑客入侵
法国外交部发布声明表示,Ariane旅行紧急服务数据库遭到攻击,大约54万份记录被盗,数据包括姓名、电话号码和电子邮件地址。Ariane是2010年开设服务,如果去到了不安全的国家,用户可以在此进行登记,如果发生意外可以及时与政府取得联系。12月5日,未经授权的一方通过每个人的紧急联系人访问了该数据库,外交部及时修复了该漏洞,在72小时内与法国数据监管机构法国国家数据中心(CNIL)取得了联系。因其用户群没有被曝光,表示密码和旅行信息没有被访问,但是泄露的信息可能被用于垃圾邮件或网络钓鱼活动。
https://techcrunch.com/2018/12/1 ... -has-been-breached/
6 Windows DNS服务中存在远程代码执行漏洞
Windows DNS(Domain Name System)服务器处理请求时存在缺陷,从而导致存在远程执行代码漏洞,该漏洞ID为CVE-2018-8626。成功利用此漏洞允许远程且未经授权的攻击者通过向Windows DNS服务端发送精心构造的恶意请求,即能以本地系统账户权限执行任意代码。12月11日,微软官方发布安全补丁已修复该漏洞。
https://portal.msrc.microsoft.co ... isory/CVE-2018-8626
|