设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20200509)
返回列表 发新帖

每日安全简讯(20200509)

[复制链接]
发表于 2020-5-8 21:38 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Lazarus积极针对国防工业开展网络钓鱼活动

自上个月以来,Lazarus组织针对国防工业的攻击一直在增加,其在4月针对韩国、5月针对美国波音公司和英国BAE系统。攻击使用了Microsoft Office Word程序的Office Open XML类型的Word文档,文档通过连接外部地址下载其他.dotm文档,其包含VBA宏代码,该代码在系统上创建和操作恶意DLL文件。
下载.png

https://asec.ahnlab.com/1317

2 来自巴西的银行木马变种攻击葡萄牙用户

自2020年4月底以来,一种来自巴西的银行木马变种已经影响了来自多个银行组织的葡萄牙用户。该木马变种与Lampion木马运行方式非常相似,其已通过模仿来自Vodafone集团发票的钓鱼邮件活动分发。该木马变种的第一阶段是MSI(Microsoft安装程序)文件,该文件可从Google站点服务器下载恶意软件并将其部署在Windows启动文件夹中。之后,恶意软件在受感染的计算机上运行,从浏览器收集敏感数据,包括用于访问银行门户的凭据。该恶意软件还可以在剪贴板上获取数据,并且包含键盘记录器功能,可以收集受害者正在编写的所有内容并将信息发送到C2服务器。作为获取银行详细信息的一种方式,当恶意软件检测到受害者正在访问目标家庭银行门户时,它会触发覆盖在浏览器上的窗口,以模拟合法系统并请求其他详细信息,例如凭据和SMS令牌。恶意软件启动后,会要求Google云端硬盘文档提供有关C2的IP地址的详细信息,这是使C2保持持久性和动态性的机制。
 03-trojan-banker-high-diagram-.png

https://seguranca-informatica.pt ... erlay/#.XrUlgxozaUk

3 研究人员发现来自俄罗斯的新窃取程序Poulight

在过去的两个月中,Yoroi研究人员发现新信息窃取程序Poulight的攻击活动,Poulight疑似源于俄罗斯。攻击者通过提供Microsoft Visual Studio产品订阅计划来传播,其为一个.NET可执行文件。启动后,会执行经典的规避检测技术:通过使用Windows管理工具(WMI)执行查询,来检查虚拟化相关环境和用作检测恶意软件分析环境的测试套件。然后,Poulight继续进行感染,从而启动一个称为“Starter”的类,其包含加载恶意软件组件的例程。从名为“ String0”的资源中提取配置文件及其参数,并解码执行,使用英语和俄语两种语言来记录收集的信息。
 pasted image 0.png

https://yoroi.company/research/p ... tealer-from-russia/

4 黑客将Web支付卡窃取程序伪装成网站图标

Malwarebytes研究人员发现一个新活动示例,其利用图标文件隐藏Web支付卡窃取程序。攻击者注册了一个新网站,声称可以提供数以千计的图片和图标供下载,该网站在托管各种图标的合法域上加载,其并使用iframe从合法的网站加载了所有内容。但该合法域是在几天前注册,并托管在以前被确定为恶意的服务器上。研究人员在浏览受感染的在线商店时发现攻击者将从良性图标加载到除结帐页面之外的所有网站页面上。一旦客户尝试购买商品并打开结帐页面,良性图标就会自动替换成为包含恶意JavaScript代码的恶意图标,然后窃取信用卡信息并将其发送到攻击者服务器。
 copycat.png

https://blog.malwarebytes.com/th ... uerades-as-favicon/

5 施耐德电气软件中存在另一个Stuxnet式漏洞

Trustwave研究人员在施耐德电气制造的软件中发现另一个类似于Stuxnet恶意软件所利用的漏洞。Stuxnet是十年前美国和以色列用来破坏伊朗核计划的恶意软件,其设计目标是西门子的SIMATIC S7-300和S7-400可编程逻辑控制器(PLC)。该恶意软件通过替换与Siemens STEP7控制器编程软件关联的DLL文件,将恶意代码加载到目标PLC上。该漏洞被跟踪为CVE-2020-7489,允许用户可以在Modicon M221控制器上开发项目,并且具有8.2的相同CVSS分数。施耐德已发布了针对该漏洞的补丁程序。
 Modicon_M221_PLC.jpg

https://www.securityweek.com/ano ... r-electric-software

6 波鸿鲁尔大学遭网络攻击后关闭主要服务器

德国波鸿鲁尔大学(The Ruhr University Bochum)7日宣布,由于5月6日夜间至7日凌晨发生的网络攻击被迫关闭了大部分中央IT基础设施,包括备份系统。该大学表示自2020年5月7日(星期四)上午8点左右以来,大量系统无法使用,包括Outlook邮件程序、VPN、内部服务网站等。尚不清楚在攻击过程中是否访问或窃取了属于学生、员工或研究人员的任何数据,或者是否有任何系统感染了恶意软件。在外部安全专家团队的帮助下,RUB大学的IT服务部门目前正在分析网络攻击造成的损失程度及攻击的类型。
 RUB.jpg

https://www.bleepingcomputer.com ... -after-cyberattack/

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 14:42

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表