1 HawkEye变种通过远程FTP服务中7z文件传播
Fortinet实验室最近捕获到通过网络钓鱼邮件传播的恶意软件HawkEye新变种。钓鱼邮件伪装成机票确认,并要求用户点击链接以下载包含HawkEye的7z文件,并在受害者系统上运行。研究人员发现该恶意链接不可用,实际为一个FTP服务,包含带有相同恶意软件样本的网络文件夹。HawkEye主程序被称为“HawkEye_RegAsm”,使用.Net编写,由ConfuserEx v1.0.0打包,使用Windows本机API设置剪贴板记录器和设置键盘记录器,并启动子进程从保存凭据存储中收集凭据,最后使用SMTP协议每10分钟将收集到的数据发送到攻击者的Yandex电子邮件地址。
https://www.fortinet.com/blog/th ... lware-analysis.html
2 虚假发票钓鱼邮件使用不同附件传播Remcos RAT
研究人员发现了使用虚假发票主题的网络钓鱼邮件传播Remcos RAT的活动。钓鱼邮件包含三种不同的附件传播Remcos RAT,第一种为包含Remcos二进制文件的zip文件。第二种为使用CVE-2017-11882漏洞的RTF文件,通过连接远程站点下载不同的Remcos二进制文件。第三种为重命名为RTF文件的Word文档,同样利用CVE-2017-11882漏洞,然后使用与第二种相同的方法下载Remcos。
https://myonlinesecurity.co.uk/r ... e-delivery-methods/
3 Ryuk勒索软件新变种添加IP和计算机名称黑名单
研究人员发现了使用数字证书签署的Ryuk勒索软件新变种,其添加IP和计算机名称黑名单,以跳过匹配计算机,免受加密。该变种通过arp -a命令输出检查IP地址,还将计算机名称与字符串“SPB”、“Spb”、“spb”、“MSK”、“Msk”和“msk”进行比较,如果具有匹配值则不加密。研究人员表示该种行为可能是避免加密俄罗斯的计算机。
https://www.bleepingcomputer.com ... -name-blacklisting/
4 攻击者利用旧版本Cobalt Strike进行恶意活动
Recorded Future检测到攻击者利用大量旧版本Cobalt Strike继续的恶意活动。Cobalt Strike是一个开发平台,用于专业安全人员模拟先进攻击者的目标攻击和后期攻击行为。Cobalt Strike价格高并且会对客户进行筛选,但攻击者仍然可从黑客论坛、获取试用版等方法获取许可版本。目前研究人员基于中高到高可信度的检测,已发现104台服务器运行Cobalt Strike的活动。
https://www.bleepingcomputer.com ... rsions-to-blend-in/
cta-2019-0618.pdf
(1.93 MB, 下载次数: 51)
5 Mozilla发布安全更新修复Firefox中0day漏洞
Mozilla发布了安全更新,修复了Firefox网络浏览器中被积极利用的0day漏洞。该漏洞ID为CVE-2019-11707,是由于Array.pop中的问题,在操作JavaScript对象时可能会出现类型混淆漏洞,目前已经发现利用该漏洞的攻击。Mozilla已在Firefox 67.0.3和Firefox ESR 60.7.1的版本中修复该漏洞。
https://www.securityweek.com/fir ... ed-targeted-attacks
6 Oracle为WebLogic中远程代码执行漏洞发布补丁
Oracle针对WebLogic服务中的一个关键远程代码执行漏洞发布了紧急补丁。该漏洞为CVE-2019-2729,是Oracle WebLogic web服务中XMLDecoder可远程利用的反序列化漏洞,攻击者无需身份验证即可远程利用。该漏洞CVSS评分为9.8,影响WebLogic版本10.3.6.0.0、12.1.3.0.0和12.2.1.3.0。由于此漏洞的高严重性,建议用户尽快进行补丁更新。
https://securityaffairs.co/wordp ... -cve-2019-2729.html
|