设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190511)
返回列表 发新帖

每日安全简讯(20190511)

[复制链接]
发表于 2019-5-10 20:15 | 显示全部楼层 |阅读模式
1 安天发布FIN6组织的针对性勒索软件攻击事件分析

自2019年1月起,安天CERT监测发现多起目标为大型企业或组织的针对性LockerGoga勒索软件攻击事件。攻击者通过入侵暴露在外网的服务器进而突破内网服务器,在内网服务器上加载Cobalt Strike/Powershell Empire等网空攻击装备,同时在内网分发勒索软件LockerGoga。安天CERT针对LockerGoga与Ryuk勒索软件进行了多个维度上的关联分析,揭示了LockerGoga与Ryuk勒索软件之间的关联性与同源性,确定了两个勒索软件的运营者为同一组织。此外,通过相关威胁情报分析,FIN6组织针对POS系统攻击活动相关IP与LockerGoga勒索活动部分重合,攻击活动中使用的stager为同一类型,据此确定LockerGoga与Ryuk勒索活动的运营者为FIN6组织。安天CERT通过对FIN6组织针对性勒索活动的关联分析,揭示了FIN6组织针对大型企业或组织的勒索行动的攻击链路。
 1.png

https://www.antiy.com/response/20190509.html

2 US-CERT披露朝鲜政府使用的ELECTRICFISH工具

DHS和FBI与美国政府合作伙伴合作,确定了朝鲜政府使用的隧道工具ELECTRICFISH。US-CERT发布的恶意软件分析报告包含对恶意32位Windows可执行文件的分析,该恶意软件实现了一种自定义协议,允许在源和目标Internet协议(IP)地址之间传输流量。恶意软件不断联系源和指定系统,允许任何一方启动漏斗会话,并且可以使用代理服务器/端口和代理用户名和密码配置恶意软件。此功能允许连接到位于代理服务器内部的系统,可以绕过受感染系统所需的身份验证以到达网络外部。
 2.jpg

https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

3 安全厂商发布KPOT Stealer恶意软件及攻击活动分析

KPOT Stealer是一种窃取恶意软件,用于从Web浏览器、即时消息、电子邮件、VPN、RDP、FTP、加密货币和游戏软件中提取帐户信息和其他数据。Proofpoint研究人员于2018年8月开始观察到通过电子邮件和漏洞利用工具包传播KPOT Stealer的攻击活动,该恶意软件新版本近期在KPOT v2.0在地下黑客论坛出售。KPOT Stealer出现多个不同的电子邮件活动中,在一些攻击中使用Agent Tesla同样的TTP。KPOT Stealer使用C / C ++编写,其大多数重要字符串都是加密的。KPOT Stealer使用HTTP进行命令和控,并且支持.bit C2域。
 3.png

https://www.proofpoint.com/us/th ... ures-silently-steal

4 安全厂商发布SilverTerrier组织BEC活动分析报告

商业电子邮件入侵(BEC)是网络罪犯中最有利可图和最普遍的活动之一,Unit 42研究人员持续监控来自尼日利亚的BEC攻击,追踪400多名SilverTerrier攻击者,在过去四年中发现大约51,000个恶意软件样本和110万次攻击。2017年,研究人员观察到平均每月发生18,294起攻击,比2016年增加23%,2017年8月发生了41,000次攻击。2018年,平均攻击量增加到每月28,227次,3月和4月攻击激增,均超过之前的月记录。数据显示,高科技行业受到的攻击次数最多,在过去一年中从46,000攀升至12万。其次为批发行业,对比2017年增长400%。制造业也观察到攻击量从32,000增加到57,000,教育和专业/法律服务分别作为第四和第五大目标行业,在攻击中见证了相当大的增长。SilverTerrier攻击者仍然是全球企业面临的巨大威胁,他们采用新技术和恶意软件推进其BEC攻击计划。
 4.png

https://unit42.paloaltonetworks. ... s-email-compromise/

5 AZORult窃取木马通过虚假Pirate Chick VPN传播

AZORult信息窃取木马利用名为Pirate Chick的虚假VPN软件传播,Pirate Chick VPN看起来与其他VPN网站非常相似,通过伪造的Adobe Flash播放器和广告软件包进行推广。首次执行时,安装程序会将一系列字符串组合到进程名称中,例如ImmunityDebugger、Fiddler、Wireshark、Regshot和ProcessHacker,然后检查正在运行的进程列表,如果检测到其中任何一个进程,则跳过恶意软件载荷的安装。恶意软件根据IP地址识别访问者的国家/地区。如果用户来自俄罗斯、白俄罗、乌克兰或哈萨克斯坦,它将跳过恶意载荷安装。恶意软件还检查用户是否在Vmware、VirtualBox或HyperV下运行,如果是,则跳过安装。
 5.jpg

https://www.bleepingcomputer.com ... fo-stealing-trojan/

6 研究人员披露SQLite管理系统中远程代码执行漏洞

SQLite是一个包含在C编程库中的客户端数据库管理系统,研究人员发现SQLite存在一个可利用的use-after-free漏洞CVE-2019-5018。特制的SQL命令可能会导致释放后使用的漏洞,从而可能导致远程执行代码。攻击者可以发送恶意SQL命令来触发此漏洞。SQLite的3.26.0和3.27.0版本受此漏洞影响。
 6.jpg

https://blog.talosintelligence.c ... ht-remote-code.html


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 23:41

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表