设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190628)
返回列表 发新帖

每日安全简讯(20190628)

[复制链接]
发表于 2019-6-27 21:35 | 显示全部楼层 |阅读模式
1 伊朗组织APT33使用大量网络基础设施攻击沙特

Recorded Future研究人员观察到APT33(也称为Elfin)使用大量网络基础设施,针对沙特阿拉伯组织的攻击活动。自2019年3月28日以来APT33使用超过1200个域,并且主要使用商品恶意软件。其中728个域被确定与受感染的宿主进行通信,在728个域中有575个域被观察到与njRAT感染的宿主进行通信,其它恶意软件还包括AdwindRAT和RevengeRAT。攻击目标具体包括总部位于沙特阿拉伯,业务涉及工程和建筑、公用事业、科技、零售、航空和金融领域的企业;两家沙特医疗机构;一家从事金属工业的沙特公司;一家印度大众传媒公司;外交机构代表团。研究人员通过关联分析,还发现了APT33、APT35和MuddyWater之间的重叠。
 iranian-cyber-operations-infrastructure.png

https://www.recordedfuture.com/i ... ons-infrastructure/

2 研究人员分析MuddyWater和APT34之间的异同

研究人员针对APT组织MuddyWater和APT34的异同进行了分析。在使用的代码Print功能中,MuddyWater使用符号“[+]”和“[-]”、colors.py等多样的Print功能,而APT34比较单一。二者都使用单引号打印字符串,并使用+运算符作为打印函数中的连接字符串而不是%s运算符。两个组织都是用多行字符串传递相对有效载荷,不同的是,APT34是真正使用多行字符串,而MuddyWater是利用其逃避检测。MuddyWater以内联多字符串的形式投送其有效载荷,避免转义特殊字符,而APT34使用该技术,只是为了提高可读性以扩展载荷。两个组织都使用清晰且相同的功能命名法,MuddyWater使用replace函数值来替换“混淆的字符”,而APT34偏向使用整数编码、十六进制编码等技术。
 colors-1.png

https://marcoramilli.com/2019/06 ... ddywater-and-apt34/

3 GreenFlash Sundown EK针对亚洲传播恶意软件

Malwarebytes研究人员首次发现GreenFlash Sundown漏洞利用工具包针对亚洲的攻击活动,其通过大规模的广告活动传播勒索软件SEON、木马Pony、挖矿恶意软件。攻击者利用被入侵的文件格式转换的网站,针对其用户通过重定向发送到漏洞利用工具包。重定向机制隐藏在一个虚假的GIF图像中,其包含混淆的JavaScript片段,其链接远程站点,加载Flash对象,使用Flash漏洞通过PowerShell投送编码的有效载荷。
 shutterstock_626138888.jpg

https://blog.malwarebytes.com/th ... vertising-campaign/

4 Excel Power Query功能可被利用分发恶意软件

Mimecast研究人员发现Microsoft Excel Power Query功能可被利用分发恶意软件。Power Query是一个功能强大且可扩展的商业智能(BI)工具,允许用户将其电子表格与其它数据源集成在一起。研究人员表示攻击者可利用该功能,将远程动态数据交换(DDE)攻击动态地启动到Excel电子表格中,并主动控制有效载荷Power Query。研究人员发现Power Query还可以用于发起复杂的、难以检测的攻击,这些攻击结合了多个攻击表面。攻击者可以将恶意内容嵌入到单独的数据源中,然后在打开电子表格时将内容加载到电子表格中,恶意代码可以被用来释放和执行恶意软件。目前Microsoft提供了一个解决方案来缓解此问题。
 1561640916(1).png

https://www.mimecast.com/blog/20 ... ecution-discovered/

5 YouTube加密货币诈骗活动用来传播njRAT后门

研究人员在YouTube上发现一项诈骗活动,其正在推广可免费获取比特币的虚假软件,最终安装远控木马njRAT或信息窃取程序Bladabindi。YouTube视频标题包含“FREEBITCO IN”字样,伪装成黑客脚本、赠品或游戏,声称允许用户获得比特币等免费的加密货币。视频中介绍的链接指向提供“Freebitcoins 2019更新脚本”的登录页面,声称需用户下载并运行VBS脚本才能生成免费的比特币。VBS脚本被混淆,其实际包含嵌入的base64编码的恶意Windows.exe文件,运行后将安装恶意软件Bladabindi或njRAT。
 youtube-video.jpg

https://www.bleepingcomputer.com ... ckdoor-infostealer/

6 Kubernetes CLI工具中漏洞允许攻击者运行代码

Kubernetes修复了一个安全漏洞CVE-2019-11246,该漏洞允许攻击者在主机上运行代码。该漏洞不影响Kubernetes系统本身,其存在Kube控件kubectl中的cp(复制)操作中,kubectl是用于处理Kubernetes安装的官方命令行实用程序。kubectl cp操作用于将文件从容器传输到用户的主机,Kubernetes需在容器内运行tar以创建tar存档,通过网络复制,kubectl将其解压到用户的机器上。攻击者利用该漏洞需将恶意文件放在Kubernetes容器中,然后等待Kubernetes管理员将这些文件传输到系统,然后就可以运行任何代码并执行恶意操作。
 iStock_88569893_SMALL.jpg

https://www.zdnet.com/article/ku ... de-on-host-machine/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 22:02

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表