找回密码
 注册创意安天

每日安全简讯(20191116)

[复制链接]
发表于 2019-11-15 22:13 | 显示全部楼层 |阅读模式
1  新威胁组织TA2101冒充目标政府机构分发恶意软件

Proofpoint研究人员最近发现了一个新威胁组织TA2101,其冒充目标国家的政府机构分发恶意软件。2019年10月16日至23日、2019年11月6日和2019年11月7日,该组织前两次冒充了德国联邦财政部的联邦议院,第三次冒充德国互联网服务提供商1&1 Internet AG,主要针对商业和IT服务公司发送钓鱼邮件,其使用相似域名、文字和被盗标志,邮件word附件带有恶意宏,启用后将执行一个PowerShell脚本,下载Maze勒索软件。2019年10月29日,该组织使用针对德国的相同手法,冒充意大利税务部Agenzia Entrate,通过相同执行链路最终安装Maze勒索软件。2019年11月12日,该组织冒充了美国邮政服务(USPS),最终分发了IcedID银行木马。
gladoffpicture1.png

https://www.proofpoint.com/us/th ... rman-italian-and-us


2 攻击者利用定制释放器传播多种信息窃取恶意软件

思科Talos研究人员监控到至少从2019年1月开始的一项攻击活动,通过利用定制释放器,将 Agent Tesla、Loki-bot等知名的信息窃取恶意软件注入到受害者机器通用进程,最终从许多流行的软件(包括Google Chrome、Safari和Firefox浏览器)中窃取信息。该活动中使用的网络钓鱼邮件包含旧存档格式ARJ存档,其包含一个".exe"可执行文件,可执行文件使用例如UPX打包的AutoIt脚本进行编译,并带有反虚拟机检查。在准备好shellcode和加密有效载荷后,执行RC4函数解密有效载荷。
image6.png

https://blog.talosintelligence.c ... -hide-and-seek.html


3 研究人员发现投放WSHRAT和RevengeRAT的活动

FortiGuard实验室团队最近捕获一个恶意文件,分析发现其旨在释放RevengeRAT和WSHRAT双重远控木马。该恶意文件为第一阶段释放器,包含JavaScript代码和URL编码的数据,解码后为VBScript代码,该代码创建并释放VBS脚本,VBS脚本作为第二阶段下载器,从远程下载另一个VBS脚本,该脚本正确地调用了许多组合的PowerShell命令,以绕过解释器的执行策略并隐藏它的存在,最终释放RevengeRAT和WSHRAT。一旦RAT运行,它将连接到两个C&C服务器,其IP地址和端口在主类的构造函数中分配,然后将从受害者的系统收集信息,并将其发送到其服务器。
revengerat-ten.png

https://www.fortinet.com/blog/th ... nge-rat-sample.html


4 新型Android恶意软件冒充广告拦截器投放广告

Malwarebytes研究人员近期监测到一种针对Android的恶意软件FakeAdsBlock,其冒充广告拦截器来巧妙地将自己隐藏在Android设备上,得以投放大量的广告,包括整页广告、打开默认浏览器时投放的广告、通知中的广告和通过主屏幕小部件投放的广告。该恶意软件被安装后,将要求获取在其他应用程序上显示的权限,并要求连接请求以设置一个允许其监视网络流量的VPN连接,但是该应用实际上并未连接到任何VPN,通过点击确定按钮,实际上是允许恶意软件以VPN小图标在后台运行。目前尚不清楚该Android恶意软件的确切来源。
2-338x600.png

https://blog.malwarebytes.com/an ... ves-up-ads-instead/


5 官员警告公共USB充电器可被用于传播恶意软件

洛杉矶官员警告称,勿在酒店和机场等公共场所使用USB充电端口,这些端口可用作传播恶意软件以感染用户设备的媒介。该骗局被称为“juice jacking”,攻击者会在公共USB端口的充电电缆或充电站中注入恶意软件。恶意软件可能会锁定设备或直接向骗子输出数据和密码。
shutterstock_189275939.jpg

https://cyware.com/news/la-offic ... arger-scam-5080d374


6 赛门铁克端点产品存在漏洞易遭受DLL劫持攻击

SafeBreach Labs在赛门铁克端点防病毒产品(Symantec Endpoint Protection)软件中发现了一个新漏洞,该漏洞ID为CVE-2019-12758,允许具有管理特权的攻击者绕过产品自我防卫机制并加载未签名的DLL文件。该产品的SepMasterService服务作为签名进程和NT AUTHORITY\SYSTEM运行,并在错误路径下加载DLL,这使得攻击者可以将任意DLL文件加载到该进程中。该漏洞的根本原因是没有针对二进制文件进行数字签名验证,fastprox.dll库试图从当前工作目录(CWD)导入dsparse.dll,但加载了错误路径。该产品14.2 RU2之前的所有版本都受影响,目前赛门铁克已修复该漏洞。
SymantecLogo.jpg

https://safebreach.com/Post/Syma ... ages-CVE-2019-12758


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 17:47

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表