设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190427)
返回列表 发新帖

每日安全简讯(20190427)

[复制链接]
发表于 2019-4-26 21:31 | 显示全部楼层 |阅读模式
1 安全厂商发布第三部分Carbanak技术细节

FireEye研究人员结合发现的Carbanak后门源代码和工具集,与之前对该后门的分析进行了验证和对比,并且填补了缺失的分析。研究人员确定了Carbanak使用了构建工具,可以指定一组配置选项以及模板Carbanak二进制文件,并将配置数据置入到到二进制文件中以生成最终构建版本进行分发。以前分析中可执行shellcode的tinymet命令,通过源代码注释和二进制文件表明,开发人员和操作人员已经将其转为直接下载Meterpreter,但没有更改其命令的名称。研究人员还发现了以前未标识的命令的名称。
 Blog-Carbanak-header-v2.png

https://www.fireeye.com/blog/thr ... d-the-backdoor.html

2 研究人员发现Emotet使用新逃避检测手段

趋势科技研究人员自2019年3月15日以来检测到Emotet木马与以前感染后不同的HTTP Post流量,它使用受损连接设备作为代理C&C服务器,然后重定向到Emotet真正的C&C。Emotet仍然是通过垃圾邮件传播,邮件附件带有虚假发票的ZIP文件,需使用邮件正文中包含的4位数密码打开。ZIP文件包含下载器Powload,用户输入密码后,将通过Powershell下载Emotet有效载荷的可执行文件。新流量中使用随机单词和用作URI目录路径的随机数,可用于逃避基于网络的检测。HTTP POST消息体中的数据仍使用RSA密钥和AES加密,Base 64中编码,存储更改为放在HTTP POST消息的正文中,增加了复杂性。
 Emotet-1.jpg

https://blog.trendmicro.com/tren ... s-proxy-cc-servers/

3 垃圾邮件广告系列针对中欧分发JasperLoader

思科Talos在过去几个月内观察到垃圾邮件广告系列分发加载器JasperLoader。该活动主要针对中欧国家,特别关注德国和意大利。垃圾邮件使用Posta Elettronica Certificata(PEC)的合法认证电子邮件服务签名,主题为电子发票新法规,附件为ZIP存档,解压后得word文档包含恶意混淆嵌入式VBA宏,部分活动中ZIP存档直接包含VBS脚本,然后启动JasperLoader的感染。第一阶段,VBScript调用WScript执行PowerShell命令,PowerShell用于调用Get-UICulture cmdlet识别语言集,并从URL获取数据。第二阶段JasperLoader根据URL处托管的内容发起HTTP GET请求,返回包含混淆JavaScript的HTTP响应。第二阶段的PowerShell执行类似于第一阶段的操作,然后运行JavaScript。第三阶段,混淆的PowerShell仍然执行相关操作,JasperLoader会下载最终的Gootkit银行木马感染受害者。
 image37.jpg

https://blog.talosintelligence.c ... -targets-italy.html

4 黑客利用GitHub服务托管网络钓鱼工具包

Proofpoint研究人员发现至少从2017年中期开始,网络钓鱼攻击者一直在滥用流行的GitHub服务上的免费代码存储库来在规范的域上托管网络钓鱼网站。这些存储库已被用于一系列的恶意活动,攻击者通过具有诱骗性的电子邮件广告系列将收件人重定向到Github服务上托管的网络钓鱼登录页面,收集受害者的登录凭据以及敏感信息,然后发送到攻击者控制的其它受感染服务器。研究人员确定了一个名为“greecpaid”用户负责管理GitHub存储库上托管的多个网络钓鱼工具包。截至4月19日GitHub已取消了所有被发现托管网络钓鱼工具的帐户。
 ghf1_blur.png

https://www.proofpoint.com/us/th ... riety-phishing-kits

5 数百个GoDaddy账户被用于在线营销诈骗

Paloalto的unit42团队发现了网络托管服务提供商和域名注册商GoDaddy的数千个受感染的服务器和被滥用的域,以及数百个被入侵的帐户,它们被用于在线产品营销诈骗活动。攻击者获得对GoDaddy帐户的访问权限后,将利用用户身份的合法网站创建一个子域名,目前已有超过15,000个子域名被用于垃圾邮件操作的一部分,用户会收到宣传产品的垃圾邮件,如果点击邮件中的链接,将被重定向到基于子域的仿冒名人代言的虚假销售页面。目前GoDaddy已删除受感染的子域名。
 Figure-10-Multiple-campaign-templates-per-site.png

https://unit42.paloaltonetworks. ... ffiliate-marketing/

6 职业NBA篮球队网上商店遭MageCart攻击

Sanguine研究人员在4月20日发现亚特兰大老鹰职业NBA篮球队的网上商店遭到网上信用卡窃取组织Magecart的攻击,该网上商店被植入支付卡窃取程序。研究人员在该商店结账页面上发现了乱码,其带有Magecart的签名。当在用户购买付款时,将被拦截按键,然后会向远程的一个域发出请求,发送窃取的信息。研究人员根据以往的MageCart攻击,攻击者可能是利用其使用的不安全的第三方组件获取访问权限。
 mBPfc6cJfCvm2yfIf9G4e4mW.png

https://labs.sansec.io/2019/04/24/atlanta-hawks-magecart/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:38

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表