1 APT28使用乌克兰选举为邮件主题开展活动
Yoroi研究人员在3月中旬发现主题为乌克兰选举文件样本,该活动与组织APT28有关。该恶意文档包含恶意宏,打开后以要求用户输入密码的消息框来保护文档。宏采用异常函数的调用,读取嵌入“Company”属性中的base64编码字符串,解码其为包含Empire工具高度混淆的Powershell脚本,这种将恶意载荷隐藏在文档属性的手法也被Emotet使用过。Powershell首先禁用Powershell ScriptBlock日志记录和反恶意软件扫描接口(AMSI),尝试从URL下载下一个感染阶段,并设置IE 11用户代理。最终通信的C2地址位于捷克共和国,该IP于2018年10月首次出现,有效期到2019年4月。
https://blog.yoroi.company/resea ... terference-signals/
2 挖矿木马Monero利用新攻击手段感染多国
趋势科技观察到挖矿恶意软件Monero正使用新的攻击方法,扩大感染目标范围。Monero最初在2019年初中国的传播活动中被观察到,当时使用感染网络的方法包括访问弱密码和使用散列传递技术、Windows管理工具,以及使用公开可用代码进行暴力破解攻击。然而在日本新发现的攻击中,其使用EternalBlue漏洞和利用PowerShell来入侵系统并逃避检测,攻击的目标国家已扩展到澳大利亚、中国台湾、越南、中国香港和印度。
https://blog.trendmicro.com/tren ... e-powershell-abuse/
3 安全厂商发布CryptoPokemon勒索解密程序
Emsisoft发布了CryptoPokemon勒索软件的解密工具。CryptoPokemon是一种新型的勒索软件,使用SHA256 + AES128加密文件,勒索信要求用户将0.02比特币转移到指定的钱包,其包含可联系攻击者的一个电子邮件地址和一个网站。在使用该免费解密工具之前,需确保从系统中删除恶意软件,否则它将重复锁定系统或加密文件。
https://blog.emsisoft.com/en/330 ... ts-super-effective/
4 Apache Tomcat中存在远程代码执行漏洞
Apache Tomcat中存在远程代码执行漏洞(CVE-2019-0232),该漏洞因在将参数从JRE传递到Windows环境时CGI Servlet中存在输入验证错误造成,允许远程攻击者向CGI Servlet发送特制请求,使用Apache Tomcat权限在系统上注入和执行任意OS命令。该漏洞影响版本包括Apache Tomcat 9.0.16 、Apache Tomcat 9.0.14、Apache Tomcat 9.0.13。目前Apache还未发布修复该漏洞补丁。
https://www.cybersecurity-help.cz/vdb/SB2019041101?affChecked=1
5 黑客泄露数千名美国警察和联邦特工数据
一个黑客组织攻击了三个联邦调查局附属网站并将其数十个文件内容上传到网上,其中包含数千名联邦特工和执法人员个人信息的。黑客利用网站漏洞攻击了与FBI国家学院协会有关的三个网站,并下载了每个Web服务器的内容,数据包含大约4,000条独特记录,具体包括成员名称、个人和政府电子邮件地址、职位、电话号码、邮政地址等。该组织的一名黑客表示已经攻击了超过1000个网站,最终目的为获得经验和金钱。
https://techcrunch.com/2019/04/12/police-data-hack/
6 研究人员发现大规模的SIM交换诈骗活动
卡巴斯基研究人员发现大规模的SIM交换诈骗活动,网络诈骗者通过社交工程和简单的网络钓鱼,利用该手段接收移动货币交易或收集与银行相关的OTP,窃取用户资金。该类活动在巴西和莫桑比克的发生率很高,影响普通公民、政治家、部长、州长和知名商人等。SIM卡交换诈骗始于通过购买等方式收集到用户的详细信息,假装用户联系其移动电话运营商,说服电话公司将受害者的电话号码移至诈骗者的SIM卡。一旦移动号码移植完成,受害者就会失去网络连接,而网络欺诈者会收到针对受害者的所有短信和语音呼叫,包括通过短信或致电受害者的电话发送的任何一次性密码,这样网络诈骗者就可以使用所有依赖SMS或电话认证的服务。
https://securelist.com/large-scale-sim-swap-fraud/90353/
|
发表于 2019-4-13 21:21
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡