1 研究人员发现针对PIK-Group的多重恶意软件
研究人员下载了一个“pik.zip”文件,文件包含名为ГруппаКомпанийПИКподробностизаказа的文件,译为“PIK集团公司订购详情”,PIK-Group是俄罗斯最重要的房地产公司之一。该脚本使用许多技术进行了大量混淆,有两个主要的混淆流:第一个是通过引入伪静态分支来实现的,第二个是通过嵌套动态构建功能块实现的字符串,它们可以动态构建并分成多个步骤。该脚本最终会投放并执行假图像文件(msg.jpg),该文件实际上是作为第二阶段使用upx加壳的windows可执行文件。第二阶段下载并执行三个额外的模块:后门,挖矿软件和一个勒索软件。第一个下载的模块是Troldesh勒索软件,第二个安装的模块是nheqminer挖矿软件,第三个安装的模块名为Trojan-Heur,用于对基于WordPress的网站进行暴力攻击。
https://marcoramilli.com/2019/02 ... -against-pik-group/
2 安全厂商披露黑客窃取Instagram资料方式
趋势科技研究人员发现某些土耳其语黑客群体热衷于窃取Instagram个人资料,并利用帐户恢复流程持续使用被盗账户并进行勒索。攻击者发送冒充来自Instagram的网络钓鱼邮件,旨在让受害者验证该帐户以获得该用户的Instagram个人资料的验证徽章。用户点击“验证帐户”按钮后,会被重定向到仿冒网页,要求用户输入出生日期、电子邮件和凭据。一旦攻击者访问受害者的Instagram个人资料和与该帐户相关的电子邮件,就可以修改恢复被盗帐户所需的信息。最终,网络钓鱼页面会跳转到Instagram网站。进一步研究案例显示,黑客入侵Instagram账户并将用户名更改为“natron_raze”,与个人资料相关联的电子邮件也会立即修改。黑客还会试图通过破坏配置文件来吸引用户的注意力。
https://blog.trendmicro.com/tren ... instagram-profiles/
3 研究人员发现Qbot恶意软件最新版本
Varonis研究人员发现了存在十年的恶意软件Qbot新版本,新版本依然具有反分析多态性特征。此次攻击活动针对美国公司,但已经破坏了欧洲和南美洲网络,旨在窃取包括银行账户在内的专有财务信息。研究人员发现了一个.zip文档,表明攻击可能始于网络钓鱼电子邮件,.zip文档包含一个以“.doc.vbs”扩展名结尾的文件,VB脚本可以搜索常见的防病毒程序,包括Windows Defender、Malwarebytes、Kaspersky和趋势科技等。然后,它使用内置的Windows命令行下载工具BITSAdmin来下载Qbot恶意软件。如果目标计算机上没有互联网连接,恶意软件将自己复制到受感染设备上的不同位置继续运行,在设备上存储和加密。所有的Qbot都是以英国有限公司的名义进行数字签名的,这些公司在过去两年内合并。研究人员通过分析一个C2服务器确定了其连接的40,000台Windows机器。几乎所有受感染的计算机都运行Windows Defender,大约90%的受感染IP地址来自美国,其余来自英国。
https://www.theregister.co.uk/20 ... ing_malware_strain/
4 MageCart组织使用新策略逃避安全检测
Magecart集团自2015年以来一直活跃,他们在网页上植入恶意脚本,窃取客户在结账时输入的付款数据。研究人员发现第4组将网络犯罪活动提升到专业水平,该小组现在在一个IP地址上最多只使用五个域,并确保与其控制之外的域不重叠。与第4组操作相关联的域只是指向大型内部网络的代理。在应用一些初始过滤之后,这些代理上游向后端提取请求,提供恶意窃取脚本。窃取器不断的更新功能,它会检查页面的付款表格,然后窃取数据。获取相同的信息,新工具只需要150行代码,是原来的十分之一。创建渗出URL的方式也得到了改进,使用了一个更简单的方法,预先配置域并将窃取的数据作为URL参数传递。此外,URL包含在图像元素中,并在加载后删除。对exfiltrated数据的保护也经过了一些改进。之前支付信息是使用base64编码的,但现在该组织在base64编码之前使用RSA公钥加密。
https://www.bleepingcomputer.com ... -your-credit-cards/
5 天线之家文档转换器存在远程代码执行漏洞
Cisco Talos研究人员发现天线之家Rainbow PDF Office Server文档转换器中存在远程执行代码漏洞(CVE-2019-5019),攻击者可利用该漏洞在受害者计算机上远程执行代码。Rainbow PDF是一种将Microsoft Office文档转换为PDF的软件解决方案。文档转换功能中存在堆溢出漏洞,解析文档摘要属性集流时,getSummaryInformation函数错误地检查大小与PropertySet数据包中的属性数之间的相关性,从而导致越界写入导致堆损坏。
https://blog.talosintelligence.c ... owerPoint-vuln.html
Talos Blog __ Cisco Talos Intelligence Group - Comprehensive Threat Intelligence.pdf
(800.45 KB, 下载次数: 43)
6 道琼斯监视列表暴露超过240万条记录
研究人员发现道琼斯监视列表在线暴露,其数据库Elasticsearch可以公开访问。Elasticsearch大小为4.4 GB,记录总数为2,418,862,包含有关政治暴露人士及其亲属、亲密伙伴以及公司的详细信息。此外还包括有犯罪记录的名单、国家和国际政府制裁名单和类别以及道琼斯的简介。道琼斯公司得知该事件后,立刻禁用了数据库,并查明数据泄露事件是由授权第三方对AWS服务器的配置错误导致的。
https://cyware.com/news/watchlis ... ompromised-9011fcdd
|
发表于 2019-3-1 21:12
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡