找回密码
 注册创意安天

每日安全简讯(20200305)

[复制链接]
发表于 2020-3-4 21:39 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 安天发布对超高能力网空威胁行为体系列分析的回顾报告

美情报机构NSA等为代表的超高能力网空威胁行为体所进行的网络攻击活动被安天命名为A2PT攻击(即高级的高级持续性威胁)。多年来,安天对A2PT攻击活动和装备进行了持续和深入的逆向分析,此次安天将已公开发布的分析成果以发布时间顺序形成摘要,以便网络安全工作者在研究威胁、改善防御的工作进行参考。报告内容包括:跟进震网——APT分析的起点;补充分析——解密USB摆渡传播的判定逻辑;推演震网干扰离心机的作用机理;确定震网和毒曲病毒的同源性;对火焰蠕虫的马拉松接力分析;对震网、毒曲、火焰系列分析工作的自我反思;分析组件结构和持久化方法;解密方程式组件的加密方式;分析方程式组织全平台作业能力,独家曝光Linux和Solaris样本;拼接主机攻击作业积木魔方;“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告;震网事件的九年再复盘与思考。
微信图片_20200304223940.jpg

https://mp.weixin.qq.com/s/N0LxStDpc6GyzpyszYnguQ


2 Molerats组织针对政府和电信组织投送后门

从2019年10月到2019年12月初,Unit 42团队观察到多起网络钓鱼攻击事件,针对政府、电信、保险和零售行业中六个不同国家(沙特阿拉伯、阿联酋、英国、西班牙、美国、吉布提)的八个组织,该活动可能与Molerats组织(又名Galer Hackers Team和Gaza Cybergang)有关。所有的攻击中都使用鱼叉式网络钓鱼电子邮件,以传递恶意文档。恶意文档利用社会工程学引诱用户启用恶意宏或者点击恶意链接,以下载恶意载荷,大多数载荷为Spark后门。Molerats使用多种技术逃避检测和分析,例如用密码保护传递文件、设置载荷执行限制、使用商业打包程序Enigma混淆有效载荷以及通信数据使用3DES或AES加密。
Figure-4.-Chart-showing-relationships-between-delivery-documents-and-associated-.png

https://unit42.paloaltonetworks. ... ers-spark-backdoor/


3 朝鲜APT组织Kimsuky不断发展TTP针对韩国

ZLAB-YOROI对朝鲜APT组织Kimsuky近期针对韩国的活动进行了分析。感染始于带有“scr”扩展名的经典可执行文件,该扩展名用于识别屏幕保护程序工件。执行后,利用Microsoft实用程序“ regsvr32.exe ”写入“.db ”的文件,该文件实际为DLL文件,作为恶意软件感染的第二阶段。然后将该文件复制到目标目录并重命名为“.dll”文件,通过设置注册表项获得持久性,并注入“ explorer.exe ”执行以绕过AV检测。每隔15分钟,恶意软件就会与C2联系,并发回有关受感染计算机的信息。
0_DuRCDnxwMe2Ca6Wr.jpg

https://blog.yoroi.company/resea ... -evolving-its-ttps/


4 勒索软件攻击者利用受害者云备份窃取数据

研究人员了解到,DoppelPaymer和Maze勒索软件的攻击者利用受害者的云备份来窃取数据。在勒索软件攻击期间,攻击者将通过网络钓鱼、恶意软件或公开的远程桌面服务来破坏单个主机。一旦获得对计算机的访问权限,便会在整个网络中横向传播,直到获得对管理员凭据和域控制器的访问权限,并使用Mimikatz等工具继续从活动目录中转储凭据。一旦获得访问权,如果受害者配置了云备份,攻击者会尝试获取云存储凭据,然后使用它们将受害者的数据还原到攻击者控制下的服务器,则在没有任何危险提醒的情况下窃取数据。
cloud-credentials.jpg

https://www.bleepingcomputer.com ... ackups-against-you/


5 谷歌修复影响联发科技驱动程序的严重漏洞

谷歌发布3月份Android安全更新,修复漏洞包括影响联发科技(MediaTek)Command Queue驱动程序的严重漏洞。该特权升级漏洞被跟踪为CVE-2020-0069,影响了数十款运行在该芯片上Android设备。该漏洞可以在大量MediaTek芯片上进行临时根访问, 还被被称为“ MediaTek-su”。至少从2020年1月起,恶意Android应用程序就开始利用该漏洞。使用联发科技设备的用户应从其原始设备制造商安装修复程序。
CVE-2016-3862-android-flaw.jpg

https://www.zdnet.com/article/an ... for-tons-of-phones/


6 Let's Encrypt因验证错误吊销300万个TLS证书

由于用于在颁发证书之前验证用户及其域的软件中的漏洞,Let's Encrypt将吊销超过300万个TLS证书。Let's Encrypt的证书颁发机构(CA)软件Boulder中存在一个错误,导致未能对某些证书进行正确验证,影响了Boulder实施CAA(证书颁发机构授权)规范的方式。据Let's Encrypt的说法,该错误可能是在2019年7月25日引入,于2020年2月29确认了该错误,目前正在吊销存在问题的3,048,289证书。
Lets-Encrypt-1.jpg

https://securityaffairs.co/wordp ... m-certificated.html


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 16:26

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表