设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190127)
返回列表 发新帖

每日安全简讯(20190127)

[复制链接]
发表于 2019-1-26 21:36 | 显示全部楼层 |阅读模式
1 研究人员发现针对海军工业部门的RAT攻击

Cybaze-Yoroi ZLab研究人员近期确定了针对海军工业部门的RAT恶意软件攻击,恶意电子邮件包含特定的Adwind / JRat变体。研究人员发现来自同一攻击者的两波电子邮件活动,但二者没什么共同之处,第一波攻击附件是.jar格式,使用意大利语编写,针对液压和起重行业,第二波活动使用ZIP文档和JS脚本,冒充德国物流公司,此外邮件主题也不同。尽管代码和编程语言的结构不同,但所有的投放器样本都具有相同的编码有效载荷字符串。恶意软件会检查受害计算机上是否存在Java环境,如未下载,则会下载JRE安装java环境。下载JRE后,恶意软件会将其安装在受害计算机上。此时,恶意软件会触发持久性机制并设置“CurrentVersion \ Run”注册表项。
 1.png

https://blog.yoroi.company/resea ... f-manuels-java-rat/

2 攻击者使用多种方法分发Ursnif和GandCrab

研究人员发现使用Ursnif恶意软件和GandCrab勒索软件的攻击,攻击利用了几种不同的方法。攻击最初通过网络钓鱼电子邮件进行,邮件包含带有嵌入式宏的Word文档附件,宏将调用编码的PowerShell脚本,然后使用一系列技术下载并执行Ursnif和GandCrab。研究人员发现的180个Word变体中,文档中最大的区别是恶意宏中的元数据和垃圾数据。文件最初保存于2018年12月17日,并在2019年1月21日之前继续更新,几个元数据字段填充了不同的数据集。PowerShell脚本将首先创建.Net Webclient类,然后for循环首先查找名为DownloadString的方法,如果找到DownloadString方法,就联系硬编码的C2请求并下载调用文件。然后循环查找DownloadData,找到后从第二个C2下载资源。
 2.jpg

https://www.carbonblack.com/2019 ... nd-ursnif-campaign/

3 Yowai和Hakai僵尸网络利用ThinkPHP漏洞传播

趋势科技研究人员发现利用ThinkPHP漏洞传播Yowai和Hakai僵尸网络,攻击者使用PHP框架创建的网站通过对默认凭据的字典攻击来破坏Web服务器,并获得对这些路由器的控制,从而实现分布式拒绝服务攻击(DDoS)。Yowai具有与其他Mirai变体类似的配置表,还引用了清除竞争僵尸网络的列表。侦听端口6来接收来自命令和控制(C&C)服务器的命令。Gafgyt变种僵尸网络Hakai不仅利用ThinkPHP漏洞,还利用了D-Link DSL-2750B路由器漏洞、CVE-2015-2051、CVE-2014-8361和CVE-2017-17215。Hakai样本包含从Mirai复制的代码,但是telnet字典攻击的代码被删除,这使其更加隐蔽。
 3.jpg

https://blog.trendmicro.com/tren ... ts-hakai-and-yowai/

4 安全厂商披露Redaman银行恶意软件新活动

自2018年9月以来,Redaman银行恶意软件已通过垃圾邮件分发,电子邮件地址以.ru结尾,发送给俄语用户。文件附件是伪装成PDF文档的归档Windows可执行文件。主题行、消息文本和附件名称各有不同,但都围绕收件人需要解决的涉嫌财务问题。发件人的邮件服务器主要来自俄罗斯、白俄罗斯、乌克兰、爱沙尼亚、德国等,而收件人的邮件服务器主要分布在俄罗斯、荷兰 、美国、瑞典、日本等,该活动主要针对俄罗斯用户。Redaman使用应用程序定义的hook程序来监控浏览器活动,特别是Chrome、Firefox和Internet Explorer。然后,它会在主机上搜索与财政部门相关的信息。
 4.png

https://unit42.paloaltonetworks. ... an-banking-malware/

5 VeryMal恶意广告活动针对美国Apple用户

自2018年8月以来,攻击者一直使用的域名VeryMal重定向网站访问者,最近使用隐写术来隐藏重定向代码,将有效载荷隐藏在图片中,伪装成Flash更新。提供反恶意广告解决方案的公司表示,最近的VeryMal广告活动在1月11日至13日期间持续了两天,只针对美国访问者。加载恶意广告软件的JavaScript代码会检查是否支持Apple字体,支持才会进行下一步。JavaScript然后查找隐藏在图像中的代码并从像素数据值中提取字母数字字符。对于每个字符重复此过程,直到从图像中提取整个代码。最后形成导航到特定URL的命令,最终重定向到伪造的Flash更新。每段代码形成一个字符串,最后形成导航到特定URL的命令。重定向用户到伪造的Flash更新。VirusTotal平台上提供的14个防病毒引擎可检测到恶意软件。
 5.png

https://www.bleepingcomputer.com ... mage-based-malware/

6 研究人员发现NumPy中存在远程代码执行漏洞

研究人员2019年1月16日报告了NumPy中存在的严重漏洞CVE-2019-6446。NumPy是用于科学计算的Python编程的库,当前版本的NumPy依赖于Python模块的默认用法,如果Python应用程序通过'numpy.load'函数加载恶意数据,攻击者就可以在机器远程执行代码。该漏洞严重性评分为9.8,影响NumPy 1.10版本及更高版本。目前该漏洞正在积极修复中。
 6.jpg

https://cyware.com/news/critical ... -execution-33117832


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 03:47

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表