设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190901)
返回列表 发新帖

每日安全简讯(20190901)

[复制链接]
发表于 2019-8-31 17:54 | 显示全部楼层 |阅读模式
1 朝鲜APT组织Lazarus攻击韩国比特币交易所用户

ESTsecurity研究人员发现朝鲜APT组织Lazarus,在8月23日针对韩国比特币交易所用户的网络钓鱼活动。攻击初始使用的钓鱼邮件包含hwp附件,文件名为“100年之后的梦想”,攻击者使用不规则社会工程技术,发送的钓鱼文件内容与目标用户不相关。hwp附件包含恶意PostScript代码,用户触发后利用shellcode连接到隐藏的C2服务器,释放两个看似为视频(AVI)扩展名文件的载荷“fly.avi”和“fly312.avi”,实际为32位和64位格式的恶意DLL文件。有效载荷将尝试连接到远程C2地址,传输RC4加密的数据并等待进一步的执行命令。
 99731B4B5D68D26B15.png

https://blog.alyac.co.kr/2500

2 APT28利用远程模板注入攻击东欧国家外交机构

Telsy CTI团队在8月22日发现APT28组织至少针对一个东欧国家外交机构的网络钓鱼活动。检索到的电子邮件消息使用远程模板注入,虽然发现时文件已不可用,但研究人员从Dropbox在线存储服务中搜集到了恶意远程内容,解压缩内容为.doc和.exe文件。在第一个宏代码中提供的函数rn(原文如此)用于静默地启动.doc文件,.doc文件的Sub_AutoOpen()触发的另一个代码块用于执行.exe文件并退出应用程序。 .exe文件是zebrocy下载器的一个变种,该变种主要目的是执行旨在收集系统信息的操作后,下载并支持执行其它恶意组件。目前研究人员还没有发现最终的有效载荷。
 image1-1.jpg

https://blog.telsy.com/zebrocy-dropbox-remote-injection/

3 安全团队披露黑客近两年利用iOS漏洞入侵iphone

Google Project Zero安全团队披露正被用于攻击的iOS漏洞利用链。谷歌威胁分析小组(TAG)在今年早些时间发现一些被黑客入侵的网站,利用iPhone 0day漏洞对访客进行水坑攻击,安装恶意软件。通过分析,研究人员发现五个独立、完整且独特的iPhone漏洞利用链,存在至少两年的时间,影响从iOS 10到iOS 12的几乎所有版本。五个漏洞利用链中总共包含十四个漏洞,其中七个用于iPhone的Web浏览器,五个用于内核,两个都可用于沙箱逃逸。初步分析表明,至少有一个仍是0day漏洞(CVE-2019-7287和CVE-2019-7286)的特权升级链,且在被发现时没有打补丁。
 ios_timeline.png

https://googleprojectzero.blogsp ... to-ios-exploit.html

4 研究者在谷歌软件商店应用中发现新隐形广告策略

赛门铁克研究人员最近发现谷歌软件商店中的恶意应用程序中发现了一种新策略,可以隐藏在用户设备上执行广告点击活动。恶意应用程序分别为记事本应用程序和健身应用程序,最初使用合法打包器打包,攻击从用户设备上通知开始,单击通知后,Toast将显示一个包含广告的隐藏视图,Toast消息通常用于显示当前活动屏幕上出现的不引人注目的通知,比如当音量调整。与将视图设置为透明以隐藏用户内容的隐藏视图不同,此攻击者采用更加狡猾的方式运行广告,同时使其隐形。这是通过首先在设备的可视显示器外创建Canvas来完成的,从技术上讲,广告是在设备上绘制的。通过使用translate()和dispatchDraw()方法,图形的位置超出了设备的可视屏幕区域,用户无法在其设备上看到广告。使用此策略允许自由显示广告和任何其他潜在恶意内容。然后,该应用可以启动自动广告点击流程,从而产生广告收入。以上两个恶意程序已经存在一年多的时间,下载总量超150万次,目前谷歌已经二者删除。
 Figure 1.png

https://www.symantec.com/blogs/t ... ng-apps-google-play

5 俄罗斯版棱镜计划SORM监控设备泄露用户数据

一位俄罗斯安全专家在20个俄罗斯互联网服务提供商的网络上发现了30个SORM监控设备,其运行的FTP服务器未受密码保护,暴露了监控的用户数据。该专家在Chaos Constructions安全会议上披露了该发现。SORM(操作调查活动系统)设备是允许俄罗斯执法机构记录IP地址、IMEI和IMSI代码、MAC地址、ICQ用户名、POP3、SMTP或IMAP4流量中,发现的电子邮件地址或与各种网络邮件提供商的连接等细节。该专家表示在2018年4月发现了这些泄露的设备,并在2018年6月开始与isp合作保护这些设备。然而,截至2019年8月25日,6个IP地址仍未关闭,直到他在发表演讲后才被关闭。
 iStock-481060964.jpg

https://cyware.com/news/sorm-equ ... rnet-users-289c7fc1

6 PDF软件供应商福昕软件遭黑客入侵泄露用户数据

Foxit软件公司于8月30日宣布其遭遇数据泄露,未经授权的入侵了其数据系统,访问了注册用户的数据。Foxit Software是一家以Foxit PDF阅读器和PhantomPDF应用程序而闻名的公司,PDF应用程序被超过5.25亿用户使用。暴露的数据包括用户的电子邮件地址、密码、用户名、电话号码、公司名称和IP地址。为应对此次事件,该公司立即将所有受影响用户的帐户密码设置为无效,用户需为其Foxit软件网站上的在线账户重新设置密码。公司表示受攻击系统不包含用户的付款卡详细信息或其它个人身份数据。
 foxit-data-breach-hacking.jpg

https://thehackernews.com/2019/0 ... er-data-breach.html



感谢王嘉老师指出序号错误
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 19:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表