设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190416)
返回列表 发新帖

每日安全简讯(20190416)

[复制链接]
发表于 2019-4-15 20:56 | 显示全部楼层 |阅读模式
1 研究人员披露利用新0day漏洞攻击细节

卡巴斯基研究人员在2019年3月发现尝试利用win32k.sys中0day漏洞的攻击。该漏洞被分配为CVE-2019-0859,是CreateWindowEx函数中提供的Use-After-Free漏洞。研究人员发现的攻击是针对64位版本的Windows,使用HMValidateHandle技术利用该漏洞绕过ASLR。然后使用Base64编码命令执行PowerShell,该命令的主要目的是从远程下载第二阶段PowerShell脚本,接着执行第三阶段PowerShell脚本。第三个脚本依次执行解包shellcode、分配可执行内存、将shellcode复制到已分配的内存、调用CreateThread来执行shellcode。shellcode的主要目的是制作一个简单的HTTP反向shell,有助于攻击者完全控制受害者的系统。目前该漏洞已在3月份的补丁更新中得到修复。
 190412-ceg-4633-1.png

https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/

2 黑客入侵立陶宛国防部网站散播虚假言论

立陶宛国防部表示其新闻门户网站“Kas vyksta Kaune”遭到黑客袭击,并散播虚假言论,诋毁立陶宛国防部及其部长雷蒙达斯·卡罗布利斯。该攻击始于4月10日晚,攻击者假装国防部员工发送鱼叉式网络钓鱼电子邮件,使用”部门腐败案件“的虚假主题,其中包括恶意链接。立陶宛国家网络安全中心已经确认这是使用欺骗性电子邮件帐户的典型社会工程攻击,并将该攻击归咎于外国政府,目前正在调查此次攻击活动。
 Lithuanian-defense-fake-news.jpg

https://securityaffairs.co/wordp ... uanian-defense.html

3 勒索软件BitPaymer变种攻击美国制造公司

趋势科技研究人员在2019年2月18日晚上9点40分到晚上11点03分之间,发现美国制造公司遭勒索软件BitPaymer变种攻击。研究人员在从1月29日到2月18日,检测到多次尝试在多台计算机上运行Empire PowerShell后门,然后攻击者利用获取管理员权限的账户,通过允许在远程计算机上执行进程的命令行工具PsExec,发送命令安装勒索软件BitPaymer。加密中使用的密钥存储在勒索信中而不是文件中,加密文件扩展名为所针对公司的名称。研究人员表示BitPaymer可能与iEncrypt勒索软件有关,二者均为在制造公司的系统中利用PsExec执行。
 BitPaymer-Ransomware-Diagram-01.jpg

https://blog.trendmicro.com/tren ... somware-via-psexec/

4 研究人员发现多任务威胁恶意软件Virobot

研究人员在3月发现的恶意软件Virobot集合了勒索软件、键盘记录器和僵尸网络三重威胁。Virobot通过带有恶意附件的电子邮件钓鱼进入系统。用户打开文件后,远程C&C服务器将向所有受感染的设备发送指令。然后,Virobot添加第二个组件keylogging。键盘记录器窃取包括电子邮件联系方式、密码、信用卡号码等在键盘上输入的所有信息。受感染的电脑屏幕上就会出现一张简单的用法语写勒索信通知,要求用户支付520美元比特币以系统恢复功能。
 1540827562.jpg

https://www.numericacu.com/learn/security/
Security _ Numerica Credit Union.pdf (6.15 MB, 下载次数: 49)

5 虚假DHL物流通知传播木马Netwire变种

研究人员观察到伪装成西班牙管理公司Asecorp向用户分发虚假DHL物流通知的钓鱼邮件,发件人邮箱使用反垃圾邮件服务,导致在几乎所有电子邮件服务器的白名单上。然后释放使用OneDrive托管的恶意软件Netwire。该变种使用与之前Netwire版本相同的C2,并将自己重命名为host.exe后运行。但该特定版本的Netwire无法在在线沙箱或VM中正常运行,尽管给出恶意结果,但无法具体正确识别它。
 2019-04-15_04-39-52-1024x1020.jpg

https://myonlinesecurity.co.uk/f ... ers-netwire-trojan/

6 与维基解密有关的黑客组织攻击厄瓜多尔

厄瓜多尔政府在遭到黑客组织Anonymous的视频威胁后被入侵。该组织发布的视频中警告所有参与捕获未接解密创始人Julian Assange(朱利安·阿桑奇)的人员,并要求释放朱利安·阿桑奇,否则将展开攻击获取报酬。厄瓜多尔内政部长周六透露,该机构的电子邮件和某市政府的网站已被黑客入侵。Anonymous还详细说明了属于厄瓜多尔总统的假定银行账户的数量,该账户位于瑞士,并表明其拥有超过1400万美元。这也反映了黑客对厄瓜多尔国家官方账户进行黑客攻击的证据。厄瓜多尔总检察长办公室周六表示,曾指控一名36岁的瑞典公民 Ola Bini,因为他涉嫌参与攻击该国计算机系统,并与维基解密有关。
 574f01c8b5f7d.jpg

https://www.publico.es/internaci ... naza-anonymous.html



回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:30

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表