1 安全团队披露针对朝鲜半岛的APT攻击活动
近期,腾讯御见威胁情报中心捕获到了2006年出现的开源木马Babyface的新活动。该攻击活动可追溯至2018年4月份,首先分发带有恶意文档的鱼叉式网络钓鱼邮件,通过宏触发恶意行为,根据系统类型下载cab文件到本地展开执行,其中包括存放加密后的C2地址、加注册表启动项、绕UAC的模块、核心的后门文件。第一阶段的RAT木马以加密shellcode的形式存放在全局变量中,解密后使用EnumWindows来执行。第二阶段的木马为第一阶段木马下发,实际为一个隐藏界面的teamviewer改装版,控制受感染设备。此次攻击中与SYSCON木马手法完全一致,而SYSCON与KONNI为同一组织所为,并且跟Darkhotel也有一定的关联。通过对攻击者使用的邮件进行搜索,发现该人士为从事宗教相关的工作,但有可能是假冒身份,其使用朝鲜语,目前具体意图还未确定。
https://mp.weixin.qq.com/s/CBh2f-lfG5H4wcoj5VSfEw
2 黑客利用Google云端存储服务托管恶意软件
Menlo Labs发现自8月以来一直活跃在美国和英国的恶意电子邮件活动,它通过诱骗受害者点击指向.zip或.gz存档文件的恶意链接,最终破坏PC和其它终端。恶意载荷托管在Google云端存储服务的域,通过使用广受信任的域,可以避免被检测。有效载荷为VBS脚本和JAR文件,其中VBS脚本为Houdini恶意软件系列,使用三个嵌套进行高度混淆,使用base64编码,与CnC域进行通信,并且还下载JAR文件。其中一个JAR文件属于Houdini(jRAT)恶意软件系列,其它JAR文件还未确定,但研究人员认为属于Qrat恶意软件系列。
https://www.menlosecurity.com/bl ... -services-companies
3 恶意Android壁纸应用程序运行广告诈骗活动
趋势科技研究人员在Google Play商店中检测到15个恶意壁纸应用,被用来运行广告诈骗活动。恶意程序使用极具吸引力的图标,伪造高评分和良好的评论。用户下载后,应用程序解码配置C2服务器地址。启动后,HTTP GET请求就会发送到C2,获取JSON格式的列表。每个初始化的信源和对象包括fallback_URL、type等参数。然后应用会从Google Play服务获取广告ID替换URL中的参数,URL将根据类型被加载,同时浏览器设置为透明。最后应用程序开始将模拟广告页面进行点击,犯罪分子实现获利。这些应用程序已被下载超过222,200次,感染率最高的意大利、中国台湾、美国、德国和印度尼西亚。目前Google已以上恶意程序删除。
https://blog.trendmicro.com/tren ... ng-ad-fraud-scheme/
4 微软发布补丁修复IE脚本引擎内存损坏漏洞
微软在19日发布安全更新,修复了存在IE浏览器中的脚本引擎内存损坏漏洞。漏洞ID为CVE-2018-8653,该漏洞允许攻击者在当前用户的上下文中执行任意代码来破坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的权限,包括管理员权限。然后攻击者可以控制受影响的系统,进行安装、更改或者删除数据,创建具有完整用户权限的新帐户等。在基于Web的攻击场景中,攻击者可以使用通过IE利用该漏洞的特制网站,然后通过发送电子邮件诱骗用户浏览该网站,以进行一系列的攻击。
https://portal.msrc.microsoft.co ... isory/CVE-2018-8653
5 智能LED灯泡存在新威胁可被远控泄露数据
赛门铁克研究人员在遥控的彩色IED灯泡中发现安全问题,该智能灯泡是一个低价品牌,与流行的语音激活智能助手集成,用户安装智能手机应用程序并创建一个免费帐户后,可以将其添加到本地WiFi网络,并可通过互联网远程控制。研究人员分析网络流量发现,应用程序大部分使用HTTP请求与云中的后端进行交互,其中包含许多私人信息。任何有权访问网络的人可能会嗅探此流量,破解密码,接管账户。后端的API允许用户通过发送该设备的MAC地址,来查找与特定灯泡相关联的用户帐户,攻击者只需要一个已经过身份验证的活动会话,通过猜测或暴力就可以破解目标设备的MAC地址。每个灯泡可以由多个用户控制,一旦得到连接,攻击者可以关闭或打开灯,更改颜色或重命名。研究人员表示随着IoT设备的普及,当中将存在更多需要修复的简单安全漏洞。
https://www.symantec.com/blogs/t ... mas-lights-hijacked
6 微软发布轻量级桌面环境Windows Sandbox
微软发布了轻量级沙箱Windows Sandbox,它是一种新的轻量级桌面环境,专为安全运行应用程序而量身定制。Windows Sandbox是一个独立的临时桌面环境,可以在其中运行不受信任的软件,而不会对PC产生持久影响。关闭后,将永久删除包含其所有文件和状态的所有软件。Windows Sandbox是Windows的一部分,具有原始性、一次性、安全性和高效性等特点。Windows Sandbox适用于Windows 10 Pro、Enterprise Insider内部版本18305或更高版本。
https://techcommunity.microsoft. ... Sandbox/ba-p/301849
|