设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190714)
返回列表 发新帖

每日安全简讯(20190714)

[复制链接]
发表于 2019-7-13 21:41 | 显示全部楼层 |阅读模式
1 针对土耳其的垃圾邮件活动使用Excel公式注入技术

SophosLabs发现针对土耳其大型组织的大量恶意垃圾邮件攻击,攻击者使用Excel公式注入技术投递有效载荷。网络钓鱼邮件具有相似的消息内容和相同的结构,恶意附件会下载有效载荷。研究人员发现了几种不同的执行下载的方法,第一种是使用POWERSHELL下载程序注入EXCEL公式。第二种是利用带有嵌入式EXCEL POWERSHELL下载程序的WORD文档,第三种是使用带有嵌入式EXCEL BITSADMIN下载程序的WORD文档,第四种是通过使用DDE命令的WORD文档。攻击目标主要是土耳其企业,涉及所有工业部门,邮件内容都包含土耳其文本,但也包含针对其他国家企业的文本。
 1.png

https://news.sophos.com/en-us/20 ... et-turkish-victims/

2 16Shop网络钓鱼工具包针对亚马逊客户收集信息

16Shop是一种网络钓鱼工具包,自2018年11月以来一直通过恶意电子邮件向Apple用户发送。电子邮件包含pdf文件,用户点击文件中的链接时会被重定向到钓鱼网站,欺骗用户更新帐户信息,包括信用卡详细信息。网络钓鱼工具包源自印度尼西亚,代码包含多种语言。迈克菲研究人员于2019年5月注意到该工具的一个新应用,目标是亚马逊用户。研究人员观察到了超过200个服务于此网络钓鱼工具包的恶意URL,表明该网络钓鱼工具包被广泛使用。
 2.png

https://securingtomorrow.mcafee. ... now-targets-amazon/

3 DoppelPaymer和BitPaymer勒索软件存在重叠

CrowdStrike自2017年8月首次发现以来一直跟踪BitPaymer勒索软件,最初BitPaymer勒索信包括赎金需求和基于TOR的支付门户网站的URL。2018年7月至今,勒索信只包括两个联系电子邮件。DoppelPaymer勒索软件活动可追溯到2019年4月,其勒索信与BitPaymer在2018年使用的相似,但不包括赎金金额。DoppelPaymer的支付门户网站几乎与最初的BitPaymer相同,使用的TTP与BitPaymer的先前TTP之间也存在明显的相似之处。DoppelPaymer对BitPaymer源代码进行了大量修改以增加其功能,最突出的功能是可以在终止影响其加密文件的进程。目前BitPaymer和DoppelPaymer正在分别感染用户。
 3.png

https://www.crowdstrike.com/blog ... mware-and-dridex-2/

4 TrickBot新增窃取模块收集2.5亿个电子邮件地址

TrickBot是一个窃取金融数据的恶意软件家族,研究人员发现一个新变体,广泛使用已签名的恶意软件二进制文件,不仅新增cookie窃取模块还增加了一个基于恶意电子邮件的感染和分发模块,该模块用于从受害者的地址簿、收件箱、发件箱中收集电子邮件凭据和联系人,然后从受害者的受感染帐户发送恶意垃圾邮件,最后从发件箱和垃圾箱文件夹中删除已发送的邮件。
 4.jpg

https://www.deepinstinct.com/201 ... d-infection-module/

5 研究人员发布Loocipher勒索软件免费解密工具

Yoroi-Cybaze ZLab研究人员发布了Loocipher勒索软件的免费解密工具。根据Fortinet的说法,LooCipher勒索软件使用的加密算法是带有16字节密钥的AES-128 ECB。密钥以随机方式生成,从预定义字符数组开始。由于AES是对称密钥算法,因此检索密钥可以恢复所有加密文件。密钥将作为GET参数通过HTTP发送到C2,密钥是混淆的,但混淆方法非常简单,可以通过两种方式解混淆。研究人员发布的自动工具,能够提取密钥并解密之前由LooCipher勒索软件加密的所有文件。该工具只在LooCipher进程处于活动状态时有效。如果进程被终止或PC重新启动,由于包含密钥的进程内存被重置,该工具则不能提取密钥。
 5.png

https://securityaffairs.co/wordp ... ware-decryptor.html

6 Jira服务和数据中心发布更新修补程序严重漏洞

Atlassian修补了自2011年夏季以来发布的影响Jira Server和Data Center版本的关键漏洞。漏洞编号为CVE-2019-11581,当Jira配置了SMTP服务并且连接管理员模式打开时,攻击者无需进行身份验证就可以利用漏洞,可能导致任意代码执行以及应用程序数据和功能的完全损害。如果攻击者获得了JIRA 管理员权限,也可以利用该漏洞。Atlassian已发布了新版本, 用户还可以通过禁用联系人管理员表单和阻止访问“/secure/admin/SendBulkMail!default.jspa”端点解决。
 6.jpg

https://www.bleepingcomputer.com ... ical-vulnerability/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:34

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表