设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190413)
返回列表 发新帖

每日安全简讯(20190413)

[复制链接]
发表于 2019-4-12 20:49 | 显示全部楼层 |阅读模式
1 疑MuddyWater利用WinRAR漏洞展开攻击

微软安全发现使用利用WinRAR漏洞CVE-2018-20250针对卫星和通信行业的攻击活动,攻击技术与组织MuddyWater开展的活动相似。钓鱼邮件据称来自阿富汗伊斯兰共和国外交部(MFA),所带的Word文档带有链接将下载第二个Word文档,启用其包含恶意宏后,将利用社工技巧提示用户DLL文件丢失重启系统以运行载荷,同时恶意代码将释放TextBox表单中数据blob和VB脚本,创建COM对象并添加自动运行注册表项实现持久性,VB脚本为第二阶段PowerShell脚本包装器,使其高度混淆并包含多层加密。PowerShell可下载文件、运行命令,为远程攻击者提供传递包含WinRAR漏洞的恶意ACE文件,最终释放后门,完全控制受感染的计算机。
 fig1-cve-2018-20250-attack-chain.png

https://www.microsoft.com/securi ... 0250-vulnerability/

2 APT组织MuddyWater新活动中攻击土耳其

CheckPoint研究人员发现伊朗APT组织MuddyWater针对白俄罗斯、土耳其和乌克兰的攻击活动。攻击初始钓鱼word文档在非土耳其环境中创建,其使用土耳其语,主题为土耳其资本市场委员会法律变更。当启用文档包含的恶意宏后,将释放模仿蜂窝网络工具的“.exe”文件和“.inf”的文件,“.inf”将“.exe”添加到RUN注册表项中并执行,然后创建“.dat”搜集系统信息并上传C2,完成第一阶段攻击。然后释放第二阶段“.exe”文件,两个阶段的可执行文件都是UPX打包并用Delphi编写。首先联网检查,将以创建的“.txt”内容复制到系统中,然后获取包含系统详细信息的文件到C2的“.dat”,并复制到“.ps1”文件中,研究人员表示虽无法获得C2的回应,但POWERSTATS是第二阶段感染的常用工具。
 fig3-1.png

https://research.checkpoint.com/the-muddy-waters-of-apt-attacks/

3 新钓鱼活动利用取消订阅链接传播Loda RAT

Cofense Intelligence近日发现了一个新网络钓鱼活动,仿冒为提供人寿保险的保险公司和传播关于亚马逊新闻的公司,邮件包含多个指向同一来源的链接,这些链接托管在合法的Microsoft子域中,如果用户点击邮件中下载文档链接或退订链接等,都将从源URL下载滥用对象关系的Microsoft Word文档,然后下载并打开RTF文档。RTF文件利用CVE-2017-11882漏洞,最终下载多功能Loda远程访问木马。
 Picture2-1-480x251.jpg

https://cofense.com/unsubcribe-emails-subscribe-loda-rat/

4 VSDC多媒体编辑软件网站被入侵传播木马

Dr. Web研究人员发现受欢迎的VSDC多媒体编辑软件网站遭到了黑客入侵,通过劫持网站上的下载链接,导致访问者下载安装Win32.Bolik.2银行木马和KPOT窃取程序。虽然目前不清楚黑客如何设法劫持该网站,但研究人员在VSDC网站上发现了一个恶意JavaScript代码,旨在检查访问者的地理位置,并仅为来自英国、美国、加拿大和澳大利亚的访问者替换下载恶意链接。VSDC网站每月访问量超过130万次,但却通过不安全的HTTP提供软件下载。该恶意活动可能影响在2019年2月21日至2019年3月23日之间的下载用户。
 hacked-website.png

https://thehackernews.com/2019/04/free-video-editing-malware.html

5 Uniden网站遭到黑客攻击分发Emotet变种

Uniden的商业安全产品官方网站遭到黑客攻击,该网站托管了一份Word文档,其分发Emotet木马变种Geodo和Heodo。恶意Word文档存储在/wp-admin/legale/中,其包含恶意宏。该网站至少可以分发十几个有效载荷,并且所有都有Heodo的签名,其中4个有效载荷是JavaScript文件,其余为Word文档。Uniden已收到了该通知,目前还不清楚该网站上何时开始传播恶意软件。
 Uniden_headpic.jpg

https://www.bleepingcomputer.com ... rves-emotet-trojan/

6 多个VPN应用程序不安全地存储会话cookie

卡内基梅隆大学CERT/CC表示,至少四款企业VPN应用中存在安全缺陷,将身份验证或会话cookie不安全地存储在内存和日志文件中。而这些会话cookie是未加密的,攻击者可以轻松访问。目前发现的四款企业VPN应用分别来自思科AnyConnect 4.7.x及更早版本、F5 Networks、Palo Alto Networks Agent 4.1.0 for Windows和GlobalProtect Agent 4.1.10及更早版本的macOS0和Pulse Secure  Connect Secure 8.1R14、8.2、8.3R6和9.0R2之前的版本。目前Palo Alto Networks已修复了漏洞(CVE-2019-1573),F5 Networks发布了安全建议,截至CERT/CC发布文章时思科和Pulse Secure还未发布关于此漏洞的声明。
 VPN-port-fail.png

https://securityaffairs.co/wordp ... security-flaws.html


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表