1 Silence组织使用恶意CHM攻击俄罗斯银行
研究人员观察到Silence组织针对俄罗斯银行及金融机构的攻击活动。攻击者发送俄语钓鱼邮件,恶意文档是CHM文件,压缩附件内容与银行开户方案有关。完整CHM感染链分为三个阶段:第一阶段下载启动感染链所需的初始VBScript有效载荷。第二阶段是恶意软件主要组件下载。第三阶段将通过四个Windows系统二进制文件收集的信息收集提交给C&C服务器。
https://reaqta.com/2019/01/silence-group-targeting-russian-banks/
2 安全厂商披露GreyEnergy与Zebrocy存在重叠
卡巴斯基实验室ICS CERT已经确定了GreyEnergy与Zebrocy存在重叠。Sofacy(APT28)自2015年11月中旬开始使用Zebrocy恶意软件。研究人员发现多个Zebrocy样本都使用193.23.181.151服务器下载其他组件,GreyEnergy分发的钓鱼邮件也使用同样的C2服务器。Zebrocy和GreyEnergy共同使用的185.217.0.124.GreyEnergy和Zebrocy攻击目标也具有一致性,二者都分发针对哈萨克斯坦的一些工业公司分发了钓鱼邮件。
https://ics-cert.kaspersky.com/r ... erlap-with-zebrocy/
GreyEnergy’s overlap with Zebrocy.pdf
(758.8 KB, 下载次数: 40)
3 研究人员在p2p网络中发现新勒索软件Anatova
McAfee研究人员在私有的点对点(p2p)网络中发现了新的勒索软件,名为Anatova,其代码是模块化的,可以添加扩展模块,因此具有很大的威胁性。Anatova是一个64位应用程序,编译日期为2019年1月1,通常伪装成游戏或应用程序的图标来欺骗用户下载。Anatova具有强大的反静态分析机制,可执行文件中的大多数字符串都使用Unicode和Ascii加密,并且90%的调用是动态的。Anatova将检索登录或当前用户的用户名,并与一个列表进行对比,如果检测到列表中的名字,则会清除自身并退出。完成用户检查后,Anatova会检查系统语言,CIS国家、叙利亚、埃及、摩洛哥、伊拉克、印度用户不会被加密。完成语言检查后,Anatova会查找一个标志,研究人员发现的感染中该标志值都为0,如果将值改为1,则会加载两个DLL,这可能表明Anatova准备模块化或扩展其功能。
https://securingtomorrow.mcafee. ... 19-anatova-is-here/
4 Ursnif银行木马新活动使用无文件技术躲避检测
Cisco Talos检测到Ursnif银行木马分发活动,攻击者分发包含恶意VBA宏的Microsoft Word文档,文档显示一个图像,要求用户打开宏。宏主要是混淆代码,最终执行PowerShell。下载并执行Ursnif可执行文件后,恶意软件将为下一个感染阶段创建注册表数据。用于下一阶段感染的PowerShell命令存在于APHohema键值中。十六进制编码的PowerShell命令有三个部分,第一部分创建一个函数,用于解码base64编码的PowerShell。第二部分创建一个包含恶意DLL的字节数组。第三部分执行第一部分中创建的base64解码函数,其中base64编码的字符串作为函数的参数。Invoke-Expression(iex)函数执行解码的PowerShell,然后执行异步过程调用(APC)注入。成功感染后,Ursnif银行木马在进行渗透之前通过HTTPS发出C2请求,其中包含CAB文件格式的数据。
https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html
5 攻击者利用GCP分发钓鱼邮件以传播恶意软件
Netskope的研究人员最近发现了使用App Engine谷歌云计算平台(GCP)通过PDF诱饵传递恶意软件,主要针对各国的金融机构和政府机构,42个银行、政府和金融机构受到攻击,范围遍及全球。PDF诱饵作为电子邮件附件分发,大多数PDF诱饵使用Adobe Acrobat 18.0创建,欺骗受害者使用GoogleApp Engine URL,该URL会重定向用户到有效载荷下载网站下,有效载荷是包含混淆宏代码的MS Word文档。用户一旦启用编辑并查看文件,就会下载第二阶段有效载荷。这种分阶段下载有效载荷的方式增加了检测的难度。
https://www.netskope.com/blog/ta ... rm-open-redirection
6 微软员工错误使用reply all功能导致邮件混乱
一名员工错误地将发送给微软GitHub帐户管理者的邮件发送给所有人,导致开启reply all的员工持续不断收到提醒邮件,造成了严重混乱,即使取消提醒的员工仍然会收到提醒。据统计,此次事件影响了11543名微软员工。早在1997年,微软就由于测试公司电子邮件服务器,造成了25000人不断接收到邮件提醒,导致电子邮件服务器停顿了两天。该事件被称为Bedlam DL3。目前,微软拒绝对此次事件进行回应。
https://www.businessinsider.com/ ... 019-1?r=US&IR=T
|