设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190607)
返回列表 发新帖

每日安全简讯(20190607)

[复制链接]
发表于 2019-6-6 20:54 | 显示全部楼层 |阅读模式
1 APT组织Platinum新活动中使用隐写后门

卡巴斯基披露APT组织Platinum的新活动使用隐写技术。研究人员在2018年6月发现Platinum针对南亚和东南亚的外交、政府和军事实体的攻击活动。该活动最早可能开始于2012年,使用称之为EasternRoppels的多阶段方法。第一阶段,攻击者使用WMI订阅运行初始PowerShell下载器,WMI PowerShell脚本使用不同的硬编码C2 IP地址、加密密钥、加盐混淆和活动时间。然后下载另一个小型PowerShell后门,用于收集用户系统环境,C2位于免费的托管服务上,并且使用大量的Dropbox账户存储数据。第二阶段所有的可执行文件运行时都受到密码保护,研究人员发现了一个作为WinSock NSP(域名服务提供程序)工作的DLL后门,该后门可以使用文本隐写技术隐藏与C&C服务器的所有通信。
 platinum-is-back-5-5.jpg

https://securelist.com/platinum-is-back/91135/

2 安全厂商揭露尼日利亚犯罪组织演变过程

Agari揭露了尼日利亚犯罪团伙Scattered Canary的演变过程。该组织自从2008年以来,已经从名为“Alpha”运行的“Craigslist”的单人行动,演变成一个至少有35名威胁行动者组成的强大商业电子邮件攻击(BEC)组织。该组织同时执行多种网络诈骗计划,包括浪漫诈骗、税务欺诈、社会保障欺诈、信用卡欺诈和工资转移。攻击目标由个人转向企业,并在2017年扩大到包括联邦和州政府机构。Scattered Canary参与者使用各种工具来加速完成任务,从受害者线索和网络钓鱼信息模板,到隐藏真实位置的VOIP电话号码和VPN。
 Scattered Canary growth timeline .jpg

https://www.bleepingcomputer.com ... ation-to-bec-giant/
scattered-canary.pdf (3.22 MB, 下载次数: 45)

3 攻击者使用PCASTLE针对国内传播XMRig

趋势科技在5月17日观察到使用混淆PowerShell脚本(命名为PCASTLE),针对国内系统传播门罗币挖矿恶意软件XMRig的攻击活动,并于5月22日达到峰值。PCASTLE新活动使用多层无文件方法,利用三个阶段的PowerShell脚本最终下载有效载荷并仅在内存中执行,最后一个阶段还将下载其它PCAST??LE脚本组件,包括使用SMB漏洞(EternalBlue)、暴力破解、使用传递散列技术。
 PCASTLE-1.jpg

https://blog.trendmicro.com/tren ... arrival-techniques/

4 安全厂商披露新发现的多个恶意软件细节

G DATA发布新发现的Sodinokibi勒索软件、CinaRAT和Gh0stRAT恶意软件活动的技术细节。Sodinokibi勒索软件通过带有Word文档附件的垃圾邮件传播,电子邮件假装是来自德国联邦公共法律广播机构收费中心的警告信。用户启用文档恶意宏后,将执行VBA代码,其使用冗长乱序变量和函数/子名称、编码字符串和垃圾参数进行混淆。然后将下载Sodinokibi勒索软件。新发现的远程访问木马CinaRAT,使用VMProtect打包。CinaRAT至少存在于2017年10月,之前版本名为Yggdrasil。CinaRAT基于QuasarRAT创建,但二者几乎没有差异。研究人员还发现了一个模仿G DATA图标的恶意软件Gh0stRAT。Gh0stRAT注册为服务,并使用无效证书签署。
 StrangeBitsGhostVersionInfo.png

https://www.gdatasoftware.com/bl ... rat-and-fake-g-data

5 虚假加密货币交易网站推送信息窃取木马

研究人员发现模仿合法Cryptohopper加密货币交易平台的虚假网站,用于推送信息窃取木马、挖矿工具和剪贴板劫持工具。当用户访问虚假网站时,将自动下载恶意可执行文件,其使用Cryptohopper图标,伪装成来自该交易平台的合法产品,实际为Vidar信息窃取木马。然后Vidar将下载所需的库,然后安装两个Qulab木马,一个充当挖矿工具,另一个充当剪贴板劫持工具,并创建计划任务,实现每分钟自动启动。研究人员发现攻击者通过剪贴板劫持工具来替换加密货币地址的方法已获取了大量金钱。
 fake-cryptohopper.jpg

https://www.bleepingcomputer.com ... o-stealing-malware/

6 邮件传输代理Exim存在远程命令执行漏洞

Qualys安全研究人员透露了一个存在于邮件传输代理(MTA)Exim的远程命令执行(RCE)漏洞,漏洞ID为CVE-2019-10149。据2019年6月调查,57%的电子邮件服务运行Exim,所以该漏洞影响超过一半的互联网电子邮件服务。远程攻击者可利用该漏洞扫描互联网,查找易受攻击的服务器,并接管系统。研究人员表示若远程利用默认配置中的该漏洞,攻击者必须保持与易受服务器的连接7天,当Exim处于某些非默认配置时,在也可以进行远程即时利用。目前该漏洞已被修复,相关用户需更新到4.92版本。
 email-pam.png

https://www.zdnet.com/article/ne ... nets-email-servers/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 23:39

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表