设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20200514)
返回列表 发新帖

每日安全简讯(20200514)

[复制链接]
发表于 2020-5-13 21:27 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 US-CERT披露HIDDEN COBRA三个恶意软件变种

US-CERT披露了HIDDEN COBRA组织三个恶意软件变种:远程访问工具COPPERHEDGE、木马TAINTEDSCRIBE和木马PEBBLEDASH。COPPERHEDGE被用于攻击加密货币交易所和相关实体,是功能齐全的远程访问工具,能够运行任意命令、执行系统侦察并提取数据。TAINTEDSCRIBE使用FakeTLS进行会话身份验证,使用线性反馈移位寄存器(LFSR)算法进行网络加密。恶意可执行文件伪装成微软阅读器Narrator。PEBBLEDASH是一个功能齐全的植入工具,使用FakeTLS进行会话身份验证和使用RC4进行网络编码。TAINTEDSCRIBE和PEBBLEDASH均可从C2服务器下载命令执行模块,并具有下载、上传、删除和执行文件的功能,还可启用Windows CLI访问、创建和终止进程并执行目标系统枚举。
 CISA_Ransomware.jpg

https://www.us-cert.gov/ncas/analysis-reports/ar20-133a
https://www.us-cert.gov/ncas/analysis-reports/ar20-133b
https://www.us-cert.gov/ncas/analysis-reports/ar20-133c

2 研究人员发现新版本Lampion木马的攻击活动

2020年5月8日,使用SAPO传输云和与银行转账相关的电子邮件分发了新版本的Lampion木马。邮件附件包含图像和PDF文件作为诱饵,第一种感染方式是通过邮件附带的VBS文件,使用MSI从Google API Cloud下载Lampion木马;第二种感染方式是通过邮件附带MSI文件,执行后,其包含VBS文件将被释放到计算机,VBS文件从AWS S3存储桶或Google API Cloud下载Lampion木马。
 email-sapo_-768x689.png

https://seguranca-informatica.pt ... onths/#.XrvYmRozaUn

3 安全厂商发布对Dark Crystal RAT的技术分析

FireEye研究人员发现一个C#版本的新恶意软件Dark Crystal RAT,并对其进行了技术分析。Dark Crystal RAT是.NET可执行文件,使用.NET Reactor混淆,使用的持久性机制包括将自身复制到随机选择的运行进程路径下、在Startup文件夹中创建快捷方式、创建注册表项等。持久性机制后,该恶意软件会随机休眠5到7秒,获取base64编码的配置字符串的MD5哈希,并创建互斥体。然后,恶意软件会发出信标,这使它确定是使用主主机(MHost)还是使用备用主机(BHost)。为此,恶意软件基于MHost URL构造信标URL,向信标URL发出请求,然后检查服务器是否使用HTTP响应主体。但无论服务器是否发送此响应,该恶意软件都使用相同的C2终结点。
 Figure1.png

https://www.fireeye.com/blog/thr ... l-rat-backdoor.html

4 医疗保健和保险公司麦哲伦健康遭勒索软件攻击

财富500强公司麦哲伦健康(Magellan Health)12日宣布,曾在2020年4月11日遭到勒索软件攻击,还导致公司其中一个服务器中个人信息被盗。麦哲伦健康是一家盈利性的医疗保健和保险公司。攻击者通过发送假冒麦哲伦客户的钓鱼邮件,进入麦哲伦系统。攻击者还释放了旨在窃取登录凭据和密码的恶意软件。被窃取的数据包括姓名、地址、员工身份证号码等个人信息,以及社会保险号或纳税人身份证号码等W-2或1099详细信息,在有限情况下,还包括用户名和密码。
 Magellan.jpg

https://www.bleepingcomputer.com ... -ransomware-attack/

5 微软发布五月份补丁更新共修复111个安全漏洞

微软发布了五月份安全更新共修复了111个漏洞,其中13个为严重漏洞,91个为重要漏洞,3个为中等严重漏洞,4个低严重漏洞。这些漏洞中包含三个严重的Microsoft Edge漏洞:Microsoft Edge特权提升漏洞(CVE-2020-1056)、Microsoft Edge欺骗漏洞(CVE-2020-1059)、Microsoft Edge PDF远程执行代码漏洞(CVE-2020-1096)。色彩管理模块(ICM32.dll)中存在另一个严重漏洞(CVE-2020-1117)。以上四个漏洞允许攻击者通过诱骗用户访问恶意网站来进行远程代码执行。本月安全更新中无0day漏洞或未修补的漏洞。
 111.png

https://www.bleepingcomputer.com ... lities-13-critical/

6 上万个安卓应用因Firebase错误公开敏感数据

Comparitech安全研究人员发现因Firebase配置错误,Google Play中约2.4万个安卓应用程序公开敏感数据。Firebase于2011年推出,是Google在2014年收购的移动应用程序开发平台。Google Play中大约有30%的应用程序正在使用Google Firebase来存储用户数据,但其中许多没有得到适当的保护。研究人员在查看515,735个安卓应用程序后,发现4282个应用程序泄漏了敏感信息,包括个人信息、访问令牌和其他类型的数据。研究人员根据推算,Google Play中的总共约有2.4万个应用程序受到影响。
 1589376550(1).png

https://www.securityweek.com/tho ... e-misconfigurations

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 14:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表