找回密码
 注册创意安天

每日安全简讯(20190324)

[复制链接]
发表于 2019-3-23 21:42 | 显示全部楼层 |阅读模式
1 安天发布海莲花组织APT攻击最新样本分析

安天CERT(安全研究与应急处理中心)自2018年12月至今,捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检测结果,诱导受害者启用恶意宏代码,向Word进程自身注入Shellcode,最终在内存中解密和运行后门程序。根据对该后门的深入分析,我们发现该样本来自海莲花组织。本次发现样本与2018年12月ESET曝光过的海莲花专用后门极为相似,而通过对后门样本的C2进行关联,我们发现了更多通过恶意自解压程序传播该后门的样本。其中部分样本针对中国,更多的样本则针对柬埔寨等多国。部分自解压样本传播的后门,其C2直接连接到了已知的海莲花组织的网络基础设施。
1.png

https://mp.weixin.qq.com/s?__biz ... lZ2E05ooKRCbBBjRvuP


2 安全厂商揭露朝鲜名为"Kulak"的攻击活动

韩国厂商ESTSecurity揭露朝鲜名为”Kulak“的攻击活动。该活动通过开发Windows版本名为“Singi”和“Sili Anti-Virus”等的防病毒程序,进行网络攻击和信息窃取。该攻击方式曾被Check Point揭露,部分样本使用与Dark hotel同源的被盗数字签名,并以test.exe为名从朝鲜上传。此次捕获到的样本的图标、属性、运行界面均与正常杀毒软件无异 ,运行时显示扫描主机文件寻找病毒,实际上每过10分钟与C2通信请求任务指令。
2.png

https://blog.alyac.co.kr/2215


3 LockerGoga勒索软件攻击美国化学公司

美国Hexion和Momentive两家化学公司3月12日遭到LockerGoga勒索软件攻击,该勒索软件在本周攻击了铝业公司Norsk Hydro。受到攻击后,公司的Windows计算机出现了蓝屏并且文件被加密,受勒索软件攻击的计算机上的数据可能已经丢失。由于旧邮件仍然无法访问,Momentive正在为一些员工提供新的电子邮件帐户。Hexion员工拒绝提供更多关于攻击的信息。
3.png

https://motherboard.vice.com/en_ ... ds-of-new-computers


4 超10万个GitHub仓库可泄漏API令牌及密钥

北卡罗来纳州立大学(NCSU)学者的一项研究表明,某些GitHub仓库会泄漏API令牌和加密密钥。研究人员分析了超过10亿个GitHub文件,这些文件分布在数百万个存储库中。研究人员表示用GitHub搜索API捕获并分析681,784个库的4,394,476个文件,另有3,374,973个库的2,312,763,353份文件记录在Google的BigQuery数据库中。研究人员在这些文件中寻找具有特定API令牌或加密密钥格式的文本字符串。结果发现了575,456个API和加密密钥,其中201,642个是唯一的,所有这些密钥分布在100,000多个GitHub项目中。使用Google Search API找到的密钥和通过Google BigQuery数据集找到的密钥是几乎没有重叠。研究人员表示他们跟踪的API和加密密钥中有6%在泄漏后一小时内被删除,超过12%的密钥在一天后被删除,而19%的密钥暴露了16天。
4.png

https://www.zdnet.com/article/ov ... cryptographic-keys/


5 研究人员发现Android设备存在高风险漏洞

Positive Technologies研究人员发现4.4版本以来所有Android版本都存在严重漏洞CVE-2019-5765。该漏洞存在于WebView组件中。攻击者可以利用该漏洞使用已安装的恶意软件或即时应用程序来访问Android用户的个人数据。WebView是一个Android组件,功能是在Android应用程序中显示网页。即时应用程序允许用户尝试应用程序而无需先安装它。在用户单击浏览器链接后,智能手机会下载一个小文件,该文件像本机应用程序一样运行,可以访问硬件,但不会占用设备上的存储空间。如果通过即时应用程序进行攻击,则在用户点击指向恶意应用程序的链接后,可以拦截数据。自Android 7.0以来,WebView已经通过谷歌Chrome实现,因此,更新浏览器足以解决这个问题。
5.png

https://www.ptsecurity.com/ww-en ... itive-technologies/



6 医疗器械制造商ZOLL泄露超27万名患者数据

医疗器械制造商ZOLL去年发生数据泄露,时间发生在2018年11月8日至2018年12月28日之间。根据公司发布的官方声明,ZOLL用于归档和其他目的的第三方服务导致了ZOLL客户数据的曝光。ZOLL今年1月现由第三方存档的电子邮件在供应商的服务器迁移过程中暴露,该公司已发布了一份详细说明数据曝光的新闻稿。暴露的信息包括患者姓名、地址、出生日期和部分医疗信息,一些患者的身份证信息也被暴露。发现泄露事件后,ZOLL立即启动了内部审查,277,319名患者受此事件影响。
6.jpg

https://cyware.com/news/zoll-not ... a-exposure-2e67a78a



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 01:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表