1 BlackTech组织通过中间人攻击传播Plead后门
2019年4月底ESET研究人员发现多次Plead后门部署活动。Plead后门由名为AsusWSPanel.exe的合法进程创建和执行,该进程属于云存储服务ASUS WebStorage,由ASUS Cloud Corporation进行数字签名。研究人员分析发现路由器级别的MitM攻击是最可能的攻击方式并且观察到攻击者插入了一个新URL,该URL链接到gov.tw域中的恶意文件。Plead是第一阶段下载程序,执行后下载包含PNG格式的图像和恶意软件使用的数据的文件。解密的数据包含一个Windows PE二进制文件,是第二阶段加载器,它从PE资源解密shellcode并在内存中执行。
https://www.welivesecurity.com/2 ... tm-asus-webstorage/
2 安全厂商发布TA505组织近期攻击活动细节分析
Yoroi研究人员在4月和5月期间观察到TA505组织攻击活动,感染媒介是恶意excel doc文档,安装FlawedAmmy RAT后,攻击者部署了特定的凭证窃取软件。恶意可执行文件实质上是电子邮件窃取程序,用于检索受害者计算机上所有电子邮件和密码帐户。执行信息收集程序后,恶意软件会将检索到的电子邮件和密码以JSON格式发送到C2,通信过程没有被加密。另外,还有一个程序会扫描文件系统以查找硬编码扩展,找到后在指定目录保存。恶意软件会创建一个简单的批处理脚本,在收集数据都发送到服务器后,删除自身和所有感染轨迹。
https://blog.yoroi.company/resea ... -the-ta505-arsenal/
3 安全厂商披露新逃避检测技术Cipher Stunting
Akamai的研究人员观察到攻击者使用一种新技术Cipher Stunting来逃避检测,Cipher Stunting最早可追溯到2018年,攻击者使用更高级的技术随机使用SSL/TLS数字签名。2018年8月,Akamai在全球范围内观察到18,652个不同的指纹,没有发现任何篡改Client Hello或任何其他指纹组件的行为。但在2018年9月初,研究人员发现针对航空公司、银行和约会网站的TLS篡改,截至10月底,TLS篡改已攀升至2.55亿。到2019年2月底,TLS篡改增加了近20%。
https://blogs.akamai.com/sitr/20 ... void-detection.html
4 西门子发布安全更新修复其产品中多个关键漏洞
西门子发布了五月安全更新,包括9个新的补丁和4个供应商产品补丁。固件工业接入点SCALANCE W1750D的补丁修复了五个漏洞,其中最严重的是CVE-2018-7084,可能导致设备控制的截获和机密信息的泄漏。自动化工艺流程的逻辑模块中最严重的漏洞CVE-2019-10919 CVSS评分9.4,可能导致未经授权的攻击者重新配置设备以及泄露其存储的文件。PCS7和WinCC工业设备SIMATIC系列中三个漏洞也被修复,最严重的漏洞CVE-2019-10916允许攻击者使用本地数据库服务器的权限执行任意系统命令。WibuKey DRM应用程序中最严重的漏洞CVE-2018-3991CVSS评分为10,可能导致动态内存溢出并使攻击者有机会执行任意代码。
https://threatpost.ru/siemens-pa ... its-products/32645/
5 超过46万个电子零售商用户账户受到黑客入侵
亚洲最大零售商Fast Retailing声明称,2019年5月10日发现其在线商店网站(优衣库官方在线商店和GU官方网上商店)上发生了非客户第三方未经授权的登录,影响了461,091个账户。Distil Networks的联合创始人表示像优衣库这样的数据泄露会在网站的登录屏幕上造成巨大的bot流量高峰,不仅密码所有者面临风险,拥有用户登录页面的电子商务企业也有可能成为下一个入侵目标。
https://www.infosecurity-magazin ... illion-eretailer-1/
6 俄罗斯政府网站泄露超过225万公民个人信息
多个俄罗斯政府网站泄露了超过225万公民个人和护照信息,其中包括政府雇员和高级政治家。俄罗斯非政府组织联合创始人发现并记录了泄漏事件,称有23个网站泄露个人社会安全号码,14个网站泄露了护照信息。这些网站泄露的其他数据包括姓名、职称、工作地点、电子邮件和税号。泄露的数据仍可在线获取。
https://www.zdnet.com/article/ru ... 2-25-million-users/
|
发表于 2019-5-16 21:25
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡