找回密码
 注册创意安天

每日安全简讯(20181224)

[复制链接]
发表于 2018-12-23 18:55 | 显示全部楼层 |阅读模式
1 APT28新攻击活动中针对欧洲分发SedUploader

10月20日晚,研究人员捕获到APT28(Sofacy)新攻击样本。该样本为针对至少一个欧洲国家的国防和安全部门的诱饵文件,通过鱼叉式网络钓鱼邮件进行分发,启用宏代码框架,通过一个直接嵌入的base64编码的字符串中提取恶意软件SedUploader新变体,使用的变量名为“adobe”,恶意宏通过添加RegKey实现持久性。该变体会在完成感染周期之前执行一些低限度的反vm和对google域的连接检查,或获取本地网络代理配置,实现对外部访问,提取用户代理信息存储在base64编码字符串中。SedUploader主要是一种侦察工具,通过屏幕截图等收集系统信息,可以与其它释放程序一起使用。
2nd_nato_theme_seduploader.jpg

https://www.emanueledelucia.net/ ... the-christmas-tree/
APT28 _ Sofacy – SedUploader under the Christmas tree.pdf (690.42 KB, 下载次数: 57)


2 研究者揭示APT组织WindShift使用的macOS工具

Objective-See研究人员针对APT组织WindShift在攻击第一阶段,使用的MacOS的植入工具OSX.WindTail进行了分析。WindShift针对在中东地区政府部门和关键基础设施部门工作的特定人员,主要使用macOS漏洞和自定义macOS植入后门,通过自定义URL进行远程Mac开发。该恶意软件显示为使用Office图标的文档,实际为未完全签名并且其签名证书已被撤销的应用程序usrnode。其使用LSMinimumSystemVersion变量表示恶意程序与OSX 10.7兼容,NSUIElement变量可让恶意程序在无图标或者菜单项的情况下执行,CFBundleURLSchemes变量中实现一系列自定义URL解决方案。LSSharedFileListInsertItemURLAPI中,添加一个登录选项,确保用户每次登录时都会重新启动恶意程序。支持标准的后门功能,包括文件泄漏和任意命令的远程执行。该组织使用自定义的C2域,目前处于离线状态。
icons.png

https://objective-see.com/blog/blog_0x3B.html


3 思科发布安全设备ASA中远程权限升级漏洞的补丁

思科发布了自适应设备ASA(Adaptive Securty Appliance)软件更新,修复了一个高严重性漏洞。该漏洞ID为CVE-2018-15465,因使用Web管理界面时验证过程不正确形成。具有低访问权限的经过身份验证的攻击者,通过HTTPS向受影响的设备发送特定的HTTP请求利用此漏洞,远程更改或下载正在运行的配置以及上载或替换设备固件。思科建议称启用命令授权可以防止此漏洞被利用。
Security-ASA-5510_frnt_10000.jpg

https://www.scmagazine.com/home/ ... appliance-software/


4 “技术支持”新骗局将耗尽CPU资源并冻结浏览器

Google Chrome报告了新技术支持诈骗变体,当用户访问恶意网址后,将被带入一个假装是Windows错误标题的页面,通过使用JavaScript创建一个循环,将使CPU利用率很快就会达到100%,使得无法关闭选项卡、浏览器或正确使用计算机,最终导致谷歌Chrome耗尽计算机上所有的CPU资源并冻结浏览器。在关闭该进程,重新打开Chrome后,它会提示打开以前的页面,这将导致技术支持骗局页面重新打开,再次导致浏览器和计算机出现相同的问题。因此用户应确保不恢复之前打开的页面。
header.jpg

https://www.bleepingcomputer.com ... percent-of-the-cpu/


5 英国陶瓷公司遭大规模网络攻击致服务器被加密

英国陶瓷公司Steelite International遭受大规模网络攻击,导致服务器被加密,对工资单系统造成了重大破坏。该公司财务总监Jon Cameron表示,来自英国以外的黑客远程利用公司系统中的漏洞,渗透进入公司网络,加密关键文件,攻击者要求支付79比特币作为赎金以恢复其数据。该公司透露,其IT团队已经重建了服务器,以确保员工能够获得工资,并将此事件报告给国家网络安全中心和斯塔福德郡警方。
shutterstock_562179769.jpg

https://cyware.com/news/pottery- ... ber-attack-0b640be8


6 FBI警告:攻击者可以探测建筑系统中的脆弱连接

美国联邦调查局(FBI)本周警告私营部门,一个用于与建筑控制系统通信的端口,会让网络上未打补丁的设备暴露给黑客,并呼吁人们关注长期存在但经常被忽视的关键基础设施领域的问题。FBI表示,默认端口1911在不进行身份验证的情况下可能会泄露系统信息,允许网络攻击者识别未针对已知漏洞打补丁的设备和系统。成功利用可能导致数据泄漏和权限升级,最终获得对系统的进一步访问。大学、州政府和通信公司都有可能受到影响。FBI称截至11月,美国网络上的700多个工业控制系统(ICS)通过该端口接受来自随机IP地址的连接。
1545558988(1).png

https://www.cyberscoop.com/fox-p ... -1911-ics-security/
FBI warns industry that hackers could probe vulnerable connections in building systems.pdf (705.69 KB, 下载次数: 33)




感谢业界友人胡怀亮指出简讯中的文字错误,我们已及时改正。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:36

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表