找回密码
 注册创意安天

每日安全简讯(20190306)

[复制链接]
发表于 2019-3-5 19:55 | 显示全部楼层 |阅读模式
1 安全厂商披露针对巴西银行的无文件银行木马

趋势科技研究人员分析了一个无文件恶意软件,其中包含多个.BAT附件和一个批处理文件,这些文件能够打开IP地址、下载带有银行木马有效载荷的PowerShell,以及安装黑客工具和信息窃取程序。恶意软件窃取机器信息和用户凭证,扫描与三个特定巴西银行相关的字符串以及其他可能通过已保存的Outlook联系人建立的网络连接,并安装黑客工具RADMIN。感染用户计算机后,该木马下载执行PowerShell代码,以及连接到其他URL提取文件并重命名。木马会在Startup文件夹中删除.LNK文件,强制系统在三分钟后重新启动。它还会创建一个锁定屏幕,强制用户输入其用户名和密码,并利用安全登录功能进行验证。恶意软件会将正确凭据发送到命令和控制(C&C)服务器,然后立即删除Startup文件夹中所有文件隐藏自身,同时执行另一个木马。新下载的木马打开Outlook收集电子邮件地址发送至C2服务器。
1.jpg

https://blog.trendmicro.com/tren ... lity-info-stealers/


2 安全厂商披露利用公式溢出漏洞的攻击

过去几个月中,Mimecast研究人员发现了利用Microsoft Office Word漏洞的恶意软件变体,疑似来自塞尔维亚攻击者将修补的内存损坏漏洞CVE-2017-11882(公式编辑器漏洞)和尚未修补的OLE漏洞组合在一起进行攻击。攻击者使用特制的Microsoft Word文档来利用Microsoft Word处理OLE文件格式中的Integer溢出漏洞,可以绕过沙箱和反病毒引擎的检测。根据复合文件二进制文件格式的格式规范,OLE流头包含一个名为DIFAT(双间接文件分配表)的表,该表是一个数字数组。每个扇区都有一个ID,可以是0xFFFFFFA下的任何32位无符号数。DIFAT表包含所有部分ID和一些特殊数字。要访问表中的扇区N,使用一个公式计算其偏移量,扇区ID过大时,计算公式会整数溢出,导致相对小的偏移。观察到的一次攻击中,攻击者利用CVE-2017-11882和上述溢出漏洞,最终安装了Java JACKSBOT的新变种。包含漏洞和shellcode的对象没有被提取,因此恶意软件没有被检测到。
2.png

https://www.mimecast.com/blog/20 ... it--difat-overflow/


3 Beyond the Grave钓鱼活动针对对冲基金

研究人员发现一种名为Beyond the Grave的钓鱼攻击,其目标为美国和国际对冲基金和金融机构。Elliot Advisors、Capital Fund Management、AQR、Citadel、Baupost Group、Marshall Wace六家公司受到影响。网络钓鱼电子邮件声称来自一家名为Aksia的金融研究公司。电子邮件正文包含有关ESMA在英国脱欧期间暂停卖空的研究细节,以及该研究的链接。点击URL时显示空白页面。目前尚不清楚有效载荷是否还能发挥作用,Palantir和FireEye正在调查该事件。
3.jpg

https://cyware.com/news/beyond-t ... edge-funds-d296ca70


4 数百个以色列网站受到JCry勒索软件攻击

上周六(3月2日),数百个以色列网站受到JCry勒索软件攻击,旨在感染Windows用户。攻击者修改了nagich的DNS记录,Nagich是一个提供可访问性小部件的网络服务。当访问者访问使用此插件的网站时,将加载恶意脚本而不是合法插件。恶意脚本将检查浏览器的用户代理以确定访问者是否正在运行Windows。如果变量等于特定字符串“Windows”,则恶意网站将显示用于分发JCry Ransomware的虚假Adobe更新消息,否则将显示篡改页面。但攻击者设置错误,导致所有受感染用户界面都被篡改,攻击失败了。据信这次袭击是由巴勒斯坦的黑客进行的。
4.jpg

https://www.zdnet.com/article/ra ... ue-to-coding-error/


5 研究人员发现访客管理系统中存在19个漏洞

研究人员研究了五个主要的访客管理系统的安全性,发现了19个先前未公开的漏洞。如果漏洞被攻击者利用,则可以查看访问者日志、联系信息和公司活动等数据。几个应用程序具有默认管理凭据,攻击者能够完全控制应用程序。研究人员还发现这些易受攻击的系统可用于建立攻击企业网络的立足点。研究人员已经向相应的VMS提供商告知了这些漏洞。
5.jpg

https://securityintelligence.com ... management-systems/


6 拉特兰医院重大数据泄露影响超7万名患者

拉特兰地区医疗中心(RRMC)最近遭遇了重大数据泄露,72,224名患者的信息以及近4000个社会安全号码(SSN)可能被盗。泄露的患者信息包括姓名、联系信息和医疗记录号码。记录患者诊断的数据文件也可能因受入侵的员工电子邮件帐户而暴露。泄露事件大概发生在2018年12月31日。RRMC已经请第三方安全专家调查此次事件。该医院的负责人表示,目前没有任何信息被滥用。
6.jpg

https://cyware.com/news/data-bre ... cal-center-79d12a09



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 01:41

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表