找回密码
 注册创意安天

每日安全简讯(20190802)

[复制链接]
发表于 2019-8-1 20:50 | 显示全部楼层 |阅读模式
1 安全厂商披露针对工控实体的新组织HEXANE

Dragos确定了一个针对工业控制系统(ICS)相关实体的新攻击组织HEXANE。HEXANE主要针对中东的石油和天然气公司,其中科威特作为其主要目标之一。HEXANE还针对中东、中亚和非洲的电信提供商,可能作为以网络为中心的中间人和相关攻击的跳板。HEXANE入侵活动包括恶意文档,这些文档释放恶意软件,为后续活动建立立足点。该组织至少从2018年年中就开始运作,并在2019年年中开始活跃,其时间表、目标和行动的增加与当前政治和军事冲突地区中东的紧张局势升级同时发生。HEXANE表现出与MAGNALLIUM和CHRYSENE活动组织的相似之处。
Hexane.jpg

https://dragos.com/resource/hexane/


2 Dridex伪装合法进程并使用五种代码注入技术

Bromium研究人员在2019年7月观察到的Dridex的新变种,其伪装成合法的Windows系统进程以逃避检测,并使用五种代码注入技术:AtomBombing、DLL路径顺序劫持、进程替换、PE注入和线程执行劫持。攻击活动首先通过垃圾邮件附带的加密的Microsoft Word 97-2003文档传播,然后启用VBA宏下载XSL脚本,子例程包含引用WMIC命令的反向字符串以逃避静态检测。下载器使用WMIC执行嵌入JScript的XSL脚本,释放Dridex加载器。解包后,Dridex寻找可执行文件,并在挂起模式下运行合法windows二进制文件。Dridex可执行代码注入explorer.exe,然后释放恶意DLL并执行计划任务。Dridex试图通过创建一个带有尾随空格的目录来逃避应用程序白名单的检测。
dridex_infection_chain_july_2019-600x605.png

https://www.bromium.com/dridex-threat-analysis-july-2019-variant/


3 Mirai新样本将C&C置于Tor网络中保持匿名

趋势科技研究人员发现物联网(IoT)恶意软件Mirai的新样本。与之前的Mirai变种相同的是,新样本允许攻击者通过IP摄像头和DVR等物联网设备中的暴露端口和默认凭据,进行远程访问和控制,并允许攻击者通过各种方法使用受感染设备进行分布式拒绝服务(DDoS)攻击和数据报协议(UDP)泛洪攻击。与之前变种不同的是,新样本的命令和控制(C2)服务器被置于Tor网络中来保持匿名。Tor网络使用Socks5协议,配置值由XOR用0x22(34)加密并嵌入到它的二进制文件中,在解密时,其包含字符串“LONGNOSE: applet not found”。
mirai-tor_config-values.jpg

https://blog.trendmicro.com/tren ... ccs-in-tor-network/


4 SanDisk SSD仪表板中的漏洞可导致数据丢失

Trustwave研究人员在SanDisk SSD仪表板中发现两个安全漏洞,可导致数据丢失和感染恶意软件。其中一个漏洞为CVE-2019-13466,由该应用程序使用硬编码密码来保护客户报告数据导致,可导致在将其发送到SanDisk进行检查的过程中丢失数据。另一个漏洞为CVE-2019-13467,由该应用程序使用HTTP而不是HTTPS与SanDisk站点进行通信而导致,攻击者可利用该漏洞进行中间人攻击,提供恶意软件。目前以上漏洞已被修复,用户需尽快升级至2.5.1.0版来修复以上漏洞。
aa5b_shutterstock_1098701765.jpg

https://www.trustwave.com/en-us/ ... 466-cve-2019-13467/


5 Prima FlexAir访问控制系统存在多个关键漏洞

美国网络安全和基础设施安全局(CISA)发布警告,表示Prima Systems制造的Prima FlexAir访问控制系统中存在多个漏洞,可允许黑客直接在操作系统上执行命令、上传恶意文件、使用管理权限执行操作、在用户的浏览器中执行任意代码、发现登录凭据、绕过正常身份验证以及拥有完整的系统访问权限。Prima的FlexAir被用来控制电梯、门锁、停车场大门甚至邮箱的访问。被发现的一系列漏洞中最严重的为CVE-2019-7670,CVSS评分为10,该问题为当使用受外部影响的输入构造OS命令时,应用程序不正确地中和了一些特殊元素,这些元素可能在发送到下游组件时修改预期的OS命令。Prima Systems已在该应用程序2.5.12版中的修复了此次所发现的漏洞。
shutterstock_394866898.jpg

https://www.securityweek.com/cri ... cess-control-system


6 网络诈骗者利用二维码窃取用户银行账户资金

近日荷兰警方警告网络诈骗者正利用二维码(QR码)骗局来窃取用户的银行账户资金。网络诈骗者通过社会工程的方式,让受害者用自己的手机扫描二维码,以提供登录到其银行环境的凭据。其它恶意活动中,二维码被利用将恶意软件下载到受害者的设备上,还有将网络诈骗者的二维码替换公共和无人看守的二维码,以将资金直接转入网络诈骗者的账户。
QR_code_payment-900x506.jpg

https://blog.malwarebytes.com/sc ... -your-bank-account/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 22:02

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表