找回密码
 注册创意安天

每日安全简讯(20190814)

[复制链接]
发表于 2019-8-13 22:58 | 显示全部楼层 |阅读模式
1 商业电子邮件入侵攻击使用空白邮件验证目标

Agari网络情报部门发现了一个新尼日利亚诈骗团伙Curious Orca,该团伙在发起商业电子邮件入侵(BEC)攻击前,利用空白电子邮件对目标信息进行人工目标验证。BEC攻击者首先生成他们可以定位的员工列表,并验证收集的信息。然后验证联系信息以确认其准确性,并用开源情报补充线索,以识别其他信息。从而实现BEC攻击。该团伙使用手动验证潜在客户信息,侦察电子邮件将在工作时间之外发送,以避免立即引起怀疑。发送后,攻击者将等待目标公司的电子邮件服务器发出“找不到要联系的电子邮件地址”退回通知。如果未收到退回提醒,则会将电子邮件地址添加到有效电子邮件列表中。目前已发现该团伙成员向包括澳大利亚在内的至少12个国家的3,200多家公司发送了超过7,800个电子邮件地址的空白侦察电子邮件。
BEC-attack-chain.png

https://www.bleepingcomputer.com ... o-validate-targets/


2 研究人员发现Dharma勒索软件新变种

Cymulate研究人员发现勒索软件Dharma新变种的攻击活动。Dharma自2016年开始运营,通常通过网络钓鱼传播,新变种通过使用真正的ESET反病毒软件移除器,提供给用户从系统卸载该软件来引诱用户安装勒索软件。一旦用户执行可执行文件,该变种将加密所有系统的文件,文件扩展名为“.nqix”,并删除了恢复本地系统备份选项。然后在受害者系统屏幕上弹出消息“所有文件被RSA1024加密”并带有特定的ID。该变种编写方式简单,没有被打包,通过存储rc4加密的dll和导入名称数组来混淆其导入 ,通过添加注册表项建立持久性。为了确保在SQL相关机器和邮箱上的加密,该变种会停止服务并终止进程,特别是Firebird Guardian、SQL和Microsoft Outlook等进程。
DharmaAnalysis-2.png

https://blog.cymulate.com/immedi ... w-dharma-ransomware


3 勒索软件Troldesh借助被入侵网站传播

Sucuri研究人员在近几周内发现勒索软件Troldesh的恶意活动。攻击者通过恶意电子邮件或社交媒体等服务传播恶意URL。点击恶意URL后,将下载JScript文件到受害者的Windows主机上。JScript文件名用俄语写成,主题为“JSC航空公司乌拉尔航空公司订单的详细信息”,这表明攻击者可能试图针对该航空公司用户。该文件被执行后将从入侵的网站上下载托管的勒索软件可执行文件来开始感染受害者计算机。攻击者还使用至少两个被入侵的网站进行托管勒索软件的备份。加密期间,攻击者收集受感染系统及其文件数据,然后使用TOR连接泄露到远程服务器。
ransomware-executable-loaded-windows-650x367.png

https://blog.sucuri.net/2019/08/troldesh-ransomware-dropper.html


4 新版本Linux GoBrut僵尸网络增加新模块

研究人员在被入侵的网站上发现了大量的恶意ELF二进制文件,分析发现其为新版本的Linux GoBrut僵尸网络。该变种与旧版本功能类似,会通过“bots/knock”路径将自身注册到C2,该路径指示其工作类型、主机OS和恶意软件的版本;通过向C2表明版本和目标体系结构,检查更新;通过向C2检索“活动项目”,来获取那些是需要暴力破解的服务;还会以JSON格式检索目标列表并开始尝试访问。新变种也增加了新模块,使其能够定位Qnap NAS服务登录页面、支持对“WOO Commerce”CMS的攻击、强制MageCart电子商务登录、找到WordPress网站内的安装目录内、搜索公开备份文件夹、从配置错误的htpasswd文件中检索信息。
pasted image 0.png

https://blog.yoroi.company/resea ... ersion-in-the-wild/


5 英国航空公司登机系统漏洞暴露乘客数据

Wandera研究人员调查发现英国航空公司办理登机手续系统存在安全漏洞,可允许能够访问客户网络数据的黑客收集乘客个人身份信息。研究人员发现英国航空公司通过电子邮件向客户发送登录其航班的链接时,该消息通常通过中间服务器发送。该链接包含乘客姓氏和预订信息等数据,旨在帮助收件人自动登录其帐户。但由于URL未加密,拦截链接的外人可以使用姓氏和预订数据来获取有关乘客的更多信息。研究人员没有提供有关此漏洞被利用的证据。
BA-01a-Anonymized-1024x567.jpg

https://www.wandera.com/mobile-s ... ways-vulnerability/


6 联合国在17个国家调查朝鲜网络攻击事件

联合国专家表示,正在调查17个国家的至少35起有关朝鲜利用网络攻击非法为大规模杀伤性武器项目筹集资金的事件。美联社援引专家报告称朝鲜非法从针对金融机构和加密货币交易所网络活动中获得了20亿美金。其中邻国韩国损失最严重,遭遇10次攻击,其次是在印度发生的3次攻击,孟加拉国和智利各发现两起,其余国家发生一次攻击,包括哥斯达黎加、冈比亚、危地马拉、科威特、利比里亚、马来西亚、马耳他、尼日利亚、波兰、斯洛文尼亚、南非、突尼斯和越南。联合国专家表示正在调查所报告的攻击事件。
c08a_shutterstock_1176719728.jpg

https://news.yahoo.com/un-probing-35-north-korean-212838225.html



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 20:47

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表