1 安全厂商揭示针对委内瑞拉军方的网络间谍活动
从2019年3月底到2019年5月底,ESET研究人员观察到Machete组织针对委内瑞拉军队的网络间谍活动。研究人员发现有超过50台受害计算机正在与C&C服务器进行通信,其中一半以上被入侵计算机来自军队,其中厄瓜多尔军队是该组织的另一个目标,其余则为教育、警察和外交相关部门。Machete使用有效的鱼叉式钓鱼技术,例如攻击者了解委内瑞拉军队的军事行话和礼节,直接向受害者发送非常具体的电子邮件。
新版的machete恶意软件组件中,攻击的第一部分由一个下载器组成,它是一个自解压存档,由7z SFX Builder生成。自解压后,提取器打开一个PDF或Microsoft Office文件作为诱饵,然后从存档中运行可执行的下载程序。该可执行文件是另一个自解压文件,其中包含实际的下载程序二进制文件(py2exe组件)和一个配置文件,其中下载程序的目标URL作为加密字符串。释放三个的py2exe组件,分别为恶意软件的主要组件、收集受害者数据组件、负责与远程C&C服务器通信组件。目前研究人员已经发现引入了六个后门组件的machete最新版本。
https://www.welivesecurity.com/2 ... ete-cyberespionage/
ESET_Machete.pdf
(1.23 MB, 下载次数: 12)
2 安全厂商发布勒索软件Sodinokibi技术分析
2019年4月,Cybereason Nocturnus团队首次发现新型勒索软件Sodinokibi,最初其目标主要为亚洲地区,近日欧洲成为受攻击的主要地区之一。研究人员对该勒索软件进行了深入的技术分析。初始感染媒介是包含恶意链接的网络钓鱼电子邮件,链接会下载恶意ZIP文件,ZIP文件包含混淆的JavaScript文件,通过WScript执行,启用其中包含的PowerShell脚本,将恶意模块加载到内存中,作为第一阶段的加载器。该模块确认进程权限,如果权限不足,将会尝试绕过用户访问控制(UAC),以最高权限运行进程。内存中的PE文件是用于最终有效载荷的第二个加载器模块,勒索软件会检查并尝试将载荷注入Ahnlab防病毒进程。如未安装,则加载程序将在挂起状态下启动当前PowerShell进程,注入载荷。
Sodinokibi在.grrr中使用RC4加密存储加密的配置数据。配置文件包含要从加密中排除的文件、结束的进程等,还可识别配置的键盘语言,并从计算机中删除卷影副本,以使文件恢复更加困难。完成加密后,通过随机生成的URL与C2建立通信。从多方面的相似性,研究人员认为Sodinokibi和GandCrab可能为同一个幕后开发者。
https://www.cybereason.com/blog/the-sodinokibi-ransomware-attack
3 研究人员发现了新漏洞利用工具包Lord EK
Virus Bulletin研究人员发现了一个自称为“Lord EK”的新工具包。该工具包检查Flash Player版本以试图利用漏洞CVE-2018-15982。攻击者使用“ngrok”服务,该服务创建一个从Internet到本地服务器的安全通道,“ngrok”还可创建随机子域。目前该工具包仍处于开发阶段。
https://www.virusbulletin.com/bl ... w-lord-exploit-kit/
4 VMware发布安全更新修复越界读写漏洞
VMware发布了安全更新,修复了影响产品VMware ESXi、Workstation和Fusion中存在的越界读写漏洞。越界读取漏洞为CVE-2019-5521,可能会导致信息泄露,允许具有正常用户权限的攻击者在主机上创建拒绝服务条件。越界写入漏洞为CVE-2019-5684,允许攻击者在主机上执行代码。攻击者成功利用以上漏洞的前提条件是访问启用了3D图形的虚拟机。
https://www.vmware.com/security/advisories/VMSA-2019-0012.html
5 黑客攻击CafePress泄露2300万账户数据
美国在线零售商CafePress遭到黑客入侵,导致超过2300万账户泄密。根据通知,这次入侵发生在2月20日,总共入侵了23205290个账户。公开的数据包括2300万个电子邮件地址,一些被泄露的记录还包括姓名、实际地址和电话号码。目前以上数据正在被黑客流传使用。
https://www.forbes.com/sites/dav ... -yours-one-of-them/
6 美国社交商务平台Poshmark遭到数据泄露
美国社交商务平台Poshmark的用户数据遭到泄露。Poshmark是一个流行的销售新旧衣物的交易市场。泄露的数据涉及指定供公众使用的某些用户个人资料信息,例如用户名、姓名、性别和城市;某些内部帐户信息,例如电子邮件地址、用户ID、唯一的单向加密密码以及登录Poshmark时连接到的社交媒体个人资料;电子邮件和推送通知的某些内部Poshmark首选项。
https://in.pcmag.com/news/131833 ... s-after-data-breach
|