设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190602)
返回列表 发新帖

每日安全简讯(20190602)

[复制链接]
发表于 2019-6-1 21:02 | 显示全部楼层 |阅读模式
1 安天发布方程式攻击SWIFT EastNets事件复盘分析报告

安天基于多年持续跟踪分析超高能力网空威胁行为体的分析成果,结合影子经纪人所泄露信息,以态势感知视角,完整复盘方程式组织攻击中东最大SWIFT服务商Eastnets的整个过程,并从威胁框架层面进行了映射解读。通过复盘可以看到,这是一起由超高能力网空威胁行为体发起,以金融基础设施为目标;从全球多个区域的预设跳板机进行攻击;以0Day漏洞直接突破两层网络安全设备并植入持久化后门;通过获取内部网络拓扑、登录凭证来确定下一步攻击目标;以“永恒”系列0Day漏洞突破内网Mgmt(管理服务器) 、SAA业务服务器和应用服务器,以多个内核级(Rootkit)植入装备向服务器系统植入后门;通过具有复杂的指令体系和控制功能平台对其进行远程控制,在SAA业务服务器上执行SQL脚本来窃取多个目标数据库服务器的关键数据信息的关键数据信息的高级持续性威胁攻击事件。
 20190601t3-6.jpg

https://www.antiy.com/response/20190601.html

2 安全厂商披露攻击组织GRIM SPIDER的TTP细节

CrowdStrike通过对网络犯罪组织WIZARD SPIDER增加活动的观察,确定了该组织攻击活动中采取的一贯行动。初始攻击通常利用网络钓鱼或垃圾邮件,从中下载模块化的TrickBot恶意软件获取立足点,TrickBot由WIZARD SPIDER开发并主要进行运营。一旦执行TrickBot,新的枚举模块将下载到受感染的计算机上,以便于GRIM SPIDER搜索域凭据。一旦攻击者有权访问域控制器,就会使用它来将勒索软件部署到整个网络。
 SPIDER-timeline-blog.png

https://www.crowdstrike.com/blog ... me-hunting-tactics/

3 垃圾邮件活动针对德国分发Sodinokibi勒索软件

研究人员发现伪装成止赎通知的垃圾邮件活动针对德国潜在受害者,分发Sodinokibi勒索软件。邮件使用德语,中文译为“取消抵押品赎回权”为主题,欺骗受害者访问其所携带的恶意word附件,然后通过用户启用混淆的VBA宏后,下载Sodinokibi勒索软件。Sodinokibi将自启动,如果用户启用UAC首先将请求运行许可。执行后将运行命令来禁用Windows启动修复和删除影子卷副本。然后,将对每台受感染机器使用唯一的随机扩展名来加密受害者的文件。勒索信包含付款链接和所需的密钥,赎金金额为价值为2500美元的比特币,延期两天后付款将提高至价值为5000美元的比特币。
 Email and attachment samples.jpg

https://www.bleepingcomputer.com ... osure-warning-spam/

4 勒索软件Maze变种ChaCha利用Fallout进行分发

Malwarebytes安全研究人员发现勒索软件Maze变种ChaCha,其由Fallout漏洞利用工具包伪装成加密货币交换应用程序,通过虚假Abra加密货币网站进行分发。该变种加密过程中利用RSA作为私钥和ChaCha作为公钥,使用不同的扩展名加密文件。尝试检测计算机是家用计算机,工作站,域控制器,服务器等,然后声明它相应地更改了赎金数量。勒索信包含受害者文件信息、联系电子邮件的付款说明以及包含加密的私有解密密钥和有关计算机的信息Base64字符串。勒索软件会尝试检测受感染计算机是家用计算机、工作站、域控制器或服务器等类型,然后相应地更改赎金金额。目前还无法解密被该勒索软件加密的文件。
 encrypted-folder.jpg

https://www.bleepingcomputer.com ... ines-ransom-amount/

5 0patch发布Win10 BearLPE 0day漏洞临时微补丁

0patch研究人员为Windows 10中未修补的BearLPE(也称SandboxEscaper) 0day漏洞发布了一个临时微补丁。该漏洞存在于Windows 10任务计划程序中,允许攻击者通过调用特定的函数获取系统权限,实现本地特权升级。研究人员已证实该0day漏洞存在于Windows 10 x86系统上,而对于x64系统还需重新编译进行确认。
 micropatch-BearLPE.jpg

https://securityaffairs.co/wordp ... s-bearlpe-flaw.html

6 WordPress插件Convert Plus存在管理员创建漏洞

Wordfence发现了其WordPress插件Convert Plus中存在一个关键级别的“未经身份验证的管理员创建”漏洞。Convert Plus是一个商业WordPress插件,约有100,000个有效安装。该漏洞允许未经身份验证的攻击者注册具有任意用户角色的新帐户,包括管理员帐户。目前该漏洞已被修复,Wordfence表示使用Convert Plus 3.4.2版的用户需要立即更新到3.4.3版本。
 convertplus-codecanyon.png

https://www.wordfence.com/blog/2 ... onvert-plus-plugin/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 23:37

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表