免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 WildPressure活动针对中东工业相关实体
卡巴斯基研究人员在2019年8月发现了一个恶意活动,该活动分发了一个成熟的C++木马,研究人员将其称为Milum。该活动的受害者均为中东组织,包含与工业相关的部门。研究人员仅发现三个独特样本,因此认为该活动是具有针对性的,并将该活动命名为WildPressure。样本文件编译时间戳均为2019年3月,攻击者使用租用的OVH和Netzbetrieb虚拟专用服务器(VPS)以及通过代理匿名化服务在Domains中注册的域。Milum使用JSON格式存储配置数据,并使用HTTP作为C2通信协议。在HTTP POST请求中的加密通信中,研究人员发现恶意软件版本-1.0.1的字段,这表示该恶意软件为开发的早期阶段。
https://securelist.com/wildpress ... -middle-east/96360/
2 Astaroth木马使用新无文件技术开展活动
Astaroth信息窃取木马在以前的活动中依赖使用Windows管理工具命令行(WMIC)的无文件技术传播。微软安全团队发现该木马的新活动使用新无文件技术:利用备用数据流(ADS)来隐藏恶意载荷和合法进程ExtExport.exe加载有效载荷,使攻击链更加隐蔽。攻击活动始于葡萄牙语的电子邮件,其包含指向存档文件的URL。存档文件包含LNK文件,点击时,该文件将运行混淆BAT命令行。BAT命令将单行JavaScript文件拖放到Pictures文件夹中,并调用explorer.exe来运行JavaScript文件。释放的单行脚本使用GetObject技术来获取并直接在内存中运行更大的主JavaScript文件。然后,主脚本使用命令行调用BITSAdmin的多个实例,从C2下载多个二进制Blob。下载的数据复制到desktop.ini的ADS中,然后删除原始内容。主脚本使用IE合法实用程序ExtExport.exe加载第一阶段代码,形成的DLL是第二阶段恶意软件代码,最终利用Userinit.exe加载Astaroth。
https://www.microsoft.com/securi ... ot-less-observable/
3 黑客借“冠状病毒杀毒软件”投送BlackNET
Malwarebytes研究人员发现一个恶意网站,其试图让用户安装声称可以防止COVID-19病毒感染的数字杀毒软件,该恶意程序最终用于投送BlackNET远程管理工具。该网站介绍称,“我们哈佛大学的科学家们一直在进行一种特殊的人工智能开发,以使用Windows应用程序对抗冠状病毒。当应用程序运行时,你的计算机会主动保护你免受冠状病毒的侵害。”安装该程序后,由商业打包程序Themida打包的文件,将在受感染计算机上接受来自C2命令。BlackNET会将受感染的设备添加到攻击者控制的僵尸网络中。该工具包的完整源代码已于一个月前在GitHub上发布,功能包括DDOS攻击、截图、窃取Firefox cookies和保存的密码、键盘记录、执行脚本、窃取比特币钱包。
https://blog.malwarebytes.com/th ... dministration-tool/
4 黑客劫持路由器DNS传播Oski恶意软件
研究人员发现一种新网络攻击,其通过劫持路由器的DNS设置,以在Web浏览器显示并提示下载来自世界卫生组织的恶意COVID-19应用程序的页面,该应用程序为Oski信息窃取木马。研究人员分析发现,黑客通过将用户D-Link或Linksys路由器上配置的DNS服务器更改为自己操作的DNS服务器,将用户重定向到该恶意内容。目前尚不清楚攻击者是如何获得路由器的访问权来更改其DNS配置的,但一些用户表示,他们使用弱管理密码启用了对路由器的远程访问权。
https://www.bleepingcomputer.com ... ious-covid-19-apps/
Hackers Hijack Routers’ DNS to Spread Malicious COVID-19 Apps.pdf
(1.05 MB, 下载次数: 12)
5 微软警告Type 1字体解析远程代码执行漏洞
微软发布安全公告,警告Adobe Type Manager库中存在两个0day漏洞,这两个漏洞可能允许黑客远程控制目标计算机。Adobe Type Manager是一种字体解析软件,它不仅可以在使用第三方软件打开时解析内容,还可以被Windows资源管理器用来在“预览窗格”或“详细信息窗格”中显示文件的内容,而无需用户打开它。该漏洞由于Adobe Type Manager库不适当地处理特制的多主字体Adobe Type 1 PostScript格式而产生,攻击者可通过说服用户打开或在Windows预览窗格中查看特制文档的方法,从而执行任意代码。这两个漏洞会影响Windows操作系统的所有受支持版本。微软提供了临时的缓解措施,补丁将在四月安全更新时发布。
https://thehackernews.com/2020/0 ... -vulnerability.html
6 WPvivid备份插件缺陷可致网站数据库泄漏
WebARX研究人员发现WPvivid备份插件缺少授权检查,可能导致数据库和WordPress网站的所有文件暴露。WPvivid Backup Plugin是一个免费的开源插件,它使用户可以轻松地将WordPress安装备份、迁移和还原到新主机,或将备份发送到远程存储。研究人员发现插件代码的wp_ajax操作中缺少适当的授权、检查和随机数检查,这可能导致跨站点请求伪造(CSRF)攻击。该缺陷允许允许任何经过身份验证的用户添加新的存储位置并将其设置为默认备份位置(攻击者控制的位置),这将导致网站的数据库和其他文件发送给攻击者。该插件的开发人员于3月17日发布了修复程序版本。
https://www.webarxsecurity.com/v ... d-to-database-leak/
|
发表于 2020-3-24 21:34
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡