设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190614)
返回列表 发新帖

每日安全简讯(20190614)

[复制链接]
发表于 2019-6-13 21:01 | 显示全部楼层 |阅读模式
1 TA505组织使用不断更新的TTP攻击多个国家

趋势科技观察到TA505使用更新的TTP在过去两个月中不断开展攻击活动。4月,TA505使用FlawedAmmyy RAT或RMS RAT作为有效载荷,攻击拉丁美洲国家智利、墨西哥和意大利。4月底,使用FlawedAmmyy RAT攻击中国、韩国等东亚国家。TA505还使用LOLbins和合法的Windows操作系统程序MSI、NSIS以逃避检测。最新的活动中使用HTML附件提供恶意.XLS文件,针对韩国下载后门FlawedAmmyy。研究人员还发现了与TA505的TTP非常相似的攻击,使用银行木马Kronos和下载器SmokeLoader,虽然攻击显示特征与TA505相似,但研究人员怀疑可能为伪造为TA505的攻击活动。
 fig-1-TA505-infection-chain.png

https://blog.trendmicro.com/tren ... n-latest-campaigns/

2 Outlaw组织传播带有基于Perl后门的挖矿程序

趋势科技检测到Outlaw黑客组织传播僵尸网络,其绑定了基于Perl后门的门罗币挖矿程序。攻击者通过SSH暴力破解获取系统访问权限,然后执行为下载恶意软件的bash脚本的命令文件,shell脚本下载、提取并执行挖矿程序,提取的TAR文件包含包含脚本、挖矿软件和后门组件文件夹,但该脚本组件并未执行。基于Perl的后门组件还能够发起分布式拒绝服务(DDoS)攻击。研究人员还观察了可执行Secure Shell (SSH)后门的使用,并注意到组件现在作为服务安装,以便为恶意软件提供持久性。研究人员已经观察到试图在中国展开的攻击活动。
 URL-spreading-miner-backdoor_shell-script-miner-bckdoor-extract.png

https://blog.trendmicro.com/tren ... erl-based-backdoor/

3 Hide'N Seek僵尸网络新变种利用漏洞传播

Paloalto unit42团队披露了2019年2月21日发现的Hide'N Seek僵尸网络变种,利用针对ThinkPHP设施漏洞CVE-2018-20062,和Sonatype Nexus Repository Manager (NXRM) 3软件安装中的远程代码执行(RCE)漏洞CVE-2019-7238。新变种具有持久性、合并漏洞和通过ADB瞄准Android设备的功能。
 Vulnerability-r3d3-874x437.png

https://unit42.paloaltonetworks. ... y-manager-thinkphp/

4 主要飞机零部件供应商ASCO遭勒索软件攻击

全球最大的飞机零部件供应商之一ASCO,其位于比利时扎芬特姆的工厂遭勒索软件感染,导致该公司在四个国家的工厂已经停止生产。勒索软件于6月7日在比利时扎芬特姆(Zaventem)的工厂开始传播,导致IT系统瘫痪,但ASCO也关闭了德国、加拿大和美国的工厂,位于法国和巴西的非生产办事处未受影响。目前ASCO还未对此事件发布更多消息。
 asco (1).jpg

https://www.zdnet.com/article/ra ... parts-manufacturer/

5 Evernote Chrome扩展程序中存在XSS漏洞

云安全公司发现了Evernote的Web Clipper Chrome扩展程序代码中的一个XSS漏洞,漏洞ID为CVE-2019-12592,允许攻击者从用户的在线服务中获取个人信息。Web Clipper扩展中的逻辑编码错误可能允许攻击者绕过浏览器的同源策略,授予攻击者在iframe中执行Evernote域之外的代码的特权。由于浏览器的域隔离机制被破坏,代码可以执行,可能允许攻击者代表用户执行操作以及授权访问受影响的第三方网页和服务上的敏感用户信息,包括身份验证、金融、对话、个人电子邮件等。在发现该漏洞不到一周的时间内,Evernote修复了该漏洞。
 shutterstock_392771239.jpg

https://finance.yahoo.com/news/g ... otes-140000231.html

6 安全厂商揭露新社交媒体信息运营活动Fishwrap

Recorded Future揭露了一种会重新定位旧新闻并发布的活动,将其称为Fishwrap。攻击者通过使用一个特殊的短网址URL系列来记录其广告系列中使用的社交帖子的点击率。该活动旨在通过社会媒体改变民意,作为一种具有政治目的的宣传形式。一项名为“影响力行动”的活动正在社交媒体上流传,该活动回收有关恐怖事件的旧消息,并像发布新消息一样重新发布。研究人员对参与Fishwrap活动的215个社交媒体账户进行了分析,发现这些账户至少使用10种不同短网址服务特殊系列,以便有效跟踪操作。自2018年中期以来,此类活动一直在进行。
 fishwrap-influence-operation-2-1.png

https://www.recordedfuture.com/fishwrap-influence-operation/
cta-2019-0612.pdf (5.01 MB, 下载次数: 42)


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表