找回密码
 注册创意安天

每日安全简讯(20200531)

[复制链接]
发表于 2020-5-30 21:38 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 新远控木马ShellReset可绕过Windows安全机制

2020年2月和2020年5月,Zscaler研究人员观察到在新注册的站点上托管基于恶意宏的Microsoft Word文档,最终用于传播ShellReset RAT。在2月份发现的两个示例中,Word文档内容分别与5G博览会活动和2020年Futurebuild会议有关,这两个活动计划于2020年3月在伦敦举行。在5月份发现的示例中,Word文档内容有关于个人数据革命,文本从合法网站datacoup.com复制。文档将要求用户启用恶意宏,显示诱饵图像的同时,恶意宏释放进行简单混淆的完整C#代码到工作目录,并将编译器目录设置为代码文件的位置,编译代码形成二进制文件放到启动目录下。然后删除包含源代码的工作目录,利用MSbuild.exe编译的.NET二进制文件,并使用.csproj文件作为绕过Windows安全机制(如AppLocker和Device Guard)的方法。最终有效载荷ShellReset RAT会执行包含窃取系统信息上传至C2等操作,ShellReset RAT与QuasarRAT代码存在重叠。
1590841412(1).png

https://www.zscaler.com/blogs/re ... ng-applocker-bypass


2 Himera和AbSent加载程序利用Covid19主题传播

Yoroi研究人员发现利用Covid19主题Word诱饵文档投放Himera和AbSent加载程序的恶意活动。Covid19主题Word文档通过电子邮件发送,Himera加载程序可执行文件作为嵌入式对象包含在文档中。一旦点击伪装的图标,Himera加载程序将被执行,首先创建互斥锁和使用Windows API执行一些经典的反分析技巧。然后,将从远程下载另一个二进制文件,远程服务器由俄罗斯托管服务公司运营。下载的文件为AbSent加载程序,它将自身复制到%TEMP%路径中的新文件winsvchost.exe中,并创建计划任务以在重新启动后保持持久性。AbSent加载程序可以保持对受害者主机的持久性并通过后续行动植入恶意软件。
image10.png

https://yoroi.company/research/h ... age-covid19-themes/


3 攻击者利用SaltStack漏洞入侵思科后端服务器

思科虚拟网络路由实验室个人版(VIRL-PE)后端服务器被攻击者利用SaltStack漏洞入侵。SaltStack服务器中身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)已于上个月的补丁更新中被修复。思科发现salt-master在为思科VIRL-PE 1.2和1.3版本提供服务时遭到入侵,最终导致攻击者能够入侵六台后端基础架构服务器:us-1.virl.info、 us-2.virl.info、us-3.virl.info、us-4.virl.info、vsm-us-1.virl.info和 vsm-us-2.virl.info。目前,思科已对被入侵服务器进行了更新和修复。
Cisco.png

https://www.bleepingcomputer.com ... -saltstack-servers/


4 美国密歇根州立大学遭Netwalker勒索软件攻击

美国密歇根州立大学网络近日遭到Netwalker勒索软件攻击。该大学目前已收到勒索软件攻击者付款最后期限的威胁通知,称从该机构网络窃取的文件将被泄露给公众。攻击者已在泄露站点发布了带有目录的图像、护照扫描以及据称从大学网络中盗窃的两个财务文件。目前,该大学还未对此次攻击透露任何信息。
Netwalker_MSU_dir_tree.png

https://www.bleepingcomputer.com ... -ransomware-attack/


5 美国明尼阿波利斯城市系统因网络攻击致暂时瘫痪

美国明尼阿波利斯市政府系统因周四的网络攻击而暂时瘫痪。该市发言人表示,一些公共网站和系统因拒绝服务(DoS)攻击而暂时关闭,该攻击涉及恶意黑客向服务器注入流量,直到服务器崩溃。该发言人没有透露进行网络攻击的幕后攻击者。
1590845399(1).png

https://thehill.com/policy/cyber ... down-by-cyberattack


6 日本ICT解决方案提供商NTT Com报告数据泄露

日本技术巨头NTT Corp的子公司NTT Communications(NTT Com)披露了影响数百名客户的数据泄露事件。NTT Com为信息和通信技术(ICT)解决方案提供商。该公司于5月7日检测到对Active Directory服务器的未经授权的访问,后续又确定了运营服务器和存储客户信息的信息管理服务器也遭到入侵。此次攻击最初是针对新加坡的一台服务器,攻击者从该服务器移至日本的系统。NTT称,该事件可能会影响621家信息存储在信息管理服务器上的公司。目前。受影响的服务器已关闭,该公司已采取措施,防止其系统中发现的恶意软件与外部服务器进行通信。
data-breach.jpg

https://www.securityweek.com/jap ... scloses-data-breach


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 14:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表