1 俄罗斯组织Gamaredon针对乌克兰开展新活动
Yoroi研究人员发现了俄罗斯黑客组织Gamaredon的新攻击活动。攻击初始利用了2019年4月2日主题为“乌克兰武装部队状态”的文件。 文件伪装成RTF文档,实际为自解压存档(SFX),带有实际上是无效的Oracle公司签名,有效期被设定在2019年3月16日。SFX包含四个文件,其中一个为包含感染的批处理文件,首先为用户显示诱饵文档,然后提取受密码保护存档内容,并创建持久性。内容包含一个脚本和PE32文件,脚本包含实际的恶意软件Pteranodon,通过命令搜集信息,利用“wget”工具发送到C2服务器。
https://blog.yoroi.company/resea ... inian-mod-campaign/
2 安全厂商披露第二部分Carbanak源码技术细节
FireEye研究人员通过分析Carbanak源码,在第一部分报告中介绍了Carbanak使用字符串哈希来管理整个代码库的Windows API解析的技术细节。研究人员在第二部分介绍了逃避检测、漏洞利用、密码密钥、网络指标、作者信息等技术细节。Carbanak根据安装的内容规避AV检测,具体为按进程名称哈希检测AV、通过注释卸载产品代码和过程注入的规避。CARBANAK源代码包含多个已公开漏洞、多个密码和密钥和网络指标,还从Mimikatz复制代码。研究人员在其中发现了加密的服务器证书并解析出了一个未受保护的私钥,网络指标与研究人员记录的CARBANAK后门活动和FIN7操作有明显重叠,但从源代码并未发现关于幕后开发者的相关特征。
https://www.fireeye.com/blog/thr ... -code-analysis.html
CARBANAK Week Part Two_ Continuing the CARBANAK Source Code Analysis « CA.pdf
(704.32 KB, 下载次数: 55)
3 DNSpionage活动开始传播新恶意软件Karkoff
思科Talos发现DNSpionage活动在2019年2月份更新了TTP,在4月份开始传播新恶意软件Karkoff。其中2月底的发现的样本来自黎巴嫩,攻击初始使用的Microsoft Word文档中带有恶意宏,有效载荷可执行文件使用新命名,C2服务器模仿GitHub平台,支持HTTP和DNS与C2通信,HTTP通信隐藏在HTML代码中的注释中。新版本增加了一个侦察阶段,确保有效载荷被投放在特定目标上,还对API和字符串进行混淆,还特定针对反病毒平台逃避检测。4月份开始传播使用.net开发的新恶意软件Karkoff,它伪装成名为"MSExchangeClient:"的Windows服务,JSON .NET库嵌入到恶意软件中,允许从C2服务器远程执行代码。研究人员表示Oilrig泄密事件中的漏洞信息提供了Oilrig与基于类似URL字段的DNSpionage参与者之间的薄弱联系,但还需进一步调查。
https://blog.talosintelligence.c ... gs-out-karkoff.html
4 攻击者利用Confluence新漏洞分发Gandcrab
Alert Logic研究人员在2019年4月11日观察到利用Confluence新漏洞(CVE-2019-3396)的攻击,用于传播Gandcrab勒索软件。活动中使用的IP地址曾利用Oracle Weblogic漏洞(CVE-2017-10271)。攻击执行的初始有效载荷通过FTP连接到攻击者控制的IP并获取win.vm文件。win.vm包含PowerShell脚本,它先检查体系结构,然后从Pastebin中获取了相应的脚本并调用到内存中。该脚本将base64编码的PE文件注入从win.vm开始的进程中,最终传播Gandcrab。研究人员还观察到通过对sir.vm的调用,该调用使用已知的lolbin cerutil下载len.exe,最终传播Gandcrab 5.2,该方法因在网络中传递而不是在脚本中编码,可逃避检测。
https://blog.alertlogic.com/acti ... andcrab-ransomware/
Active Exploitation of Confluence Vulnerability CVE-2019-3396 Dropping Gandcrab .pdf
(612.6 KB, 下载次数: 48)
5 托管在Google协作平台木马使用SQL渗出数据
Netskope研究人员发现托管在谷歌协作平台上名为LoadPCBanker的恶意软件,该恶意软件针对巴西用户,最终使用SQL作为通道渗出受害者数据。攻击者使用Google站点创建网站,然后使用文件柜模板上传有效载荷,最后将生成的URL发送给攻击目标。下载的RAR存档包含PDF文件,使用葡萄牙语和英语,然后将从文件托管网站KingHost下载DLL文件和EXE文件,EXE文件模仿Microsoft的Outlook电子邮件客户端,它是一个信息窃取程序,收集受害者数据,它还充当文件下载器,该文件包含接收被盗信息的SQL数据库的凭据和连接细节。其中一个DLL文件是mysql库,通过与DLL组件协作最终将被盗数据通过SQL发送给攻击者服务器。
https://www.netskope.com/blog/malicious-google-sites
6 欧洲制造巨头Aebi Schmidt遭到勒索软件攻击
欧洲制造巨头Aebi Schmidt于4月23日遭到勒索软件攻击,导致其中断运营。Aebi Schmidt是总部位于瑞士的机场维护和道路清洁车辆制造商。攻击导致该公司整个国际网络的系统都出现了故障,但大部分损失发生在欧洲基地,制造业务所需的系统无法访问,据说该公司的电子邮件也受到了影响。目前还未确定攻击中使用的勒索软件。
https://techcrunch.com/2019/04/23/aebi-schmidt-ransomware/
|
发表于 2019-4-24 21:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡