找回密码
 注册创意安天

每日安全简讯(20210108)

[复制链接]
发表于 2021-1-7 20:41 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 APT37使用VBA自解码技术投送RokRat变种

Malwarebytes研究人员在2020年12月7日发现一个上传到VirusTotal的恶意文件,该文件看似是一个以韩国政府为目标的会议请求,文件中提到的会议日期是2020年1月23日,与2020年1月27日的文件编制时间一致,这表明该攻击发生在一年前。该文件包含一个嵌入式宏,宏使用VBA自解码技术在Microsoft Office的存储空间内对其自身进行解码,而无需写入磁盘。然后,它将RokRat变种嵌入到记事本中。基于投送的有效载荷,研究人员认为该样本与APT37相关。
self-1536x201.jpg

https://blog.malwarebytes.com/th ... e-to-inject-rokrat/


2 SolarWinds黑客访问美国司法部O365邮箱

美国司法部在6日发布新闻稿中称,SolarWinds攻击活动幕后的黑客已经访问该部门的Microsoft O365邮箱,数量约为3%,司法部大约有115000名员工,这意味着黑客访问了大约3450个邮箱,但没有迹象表明任何机密系统受到了影响。司法部表示,作为正在进行的技术分析的一部分,美国商务部已根据联邦信息安全现代化法案确定该活动构成重大事件,并正在采取与该决定相一致的步骤。
158214905.jpg

https://securityaffairs.co/wordp ... o365-mailboxes.html


3 安全厂商披露Lokibot最新攻击活动感染链

思科Talos发布针对Lokibot恶意软件最新攻击活动的技术分析。在该示例中,攻击始于网络钓鱼电子邮件,邮件附件为恶意XLS文件,其包含混淆宏,通过显示模糊文档中的图像来鼓励用户启用宏。启用宏后,将下载大量的第二阶段下载程序,然后获取加密的第三阶段,其中包括三层加密的Lokibot。在特权升级之后,第三个阶段将部署Lokibot,并于C2通信。
image16.jpg

https://blog.talosintelligence.c ... nfection-chain.html


4 垃圾邮件使用特朗普视频诱饵传播QNode RAT

Trustwave安全专家发现了一项垃圾邮件活动,该活动使用伪造的特朗普性丑闻视频作为诱饵来分发QNode远程访问木马(RAT)。垃圾邮件主题贷款优惠,附件是名为“TRUMP_SEX_SCANDAL_VIDEO.jar”文件,与主题完全不相关。Jar文件使用Allatori混淆器进行混淆处理,通过从官方网站nodejs.org检索Node.Js下载器,最终安装仅支持Windows平台的Qrat变种QNode RAT。
6a0133f264aa62970b026be42f50d5200d-900wi.jpg

https://www.trustwave.com/en-us/ ... rump-video-scandal/


5 安全研究人员发现名为Babuk的新勒索软件

安全研究人员在2021年初发现了新勒索软件Babuk。Babuk勒索软件使用一些新技术,例如多线程加密以及利用类似于Conti和REvil勒索软件使用的Windows Restart Manager。Babuk使用自己的SHA256哈希、ChaCha8加密和椭圆曲线Diffie-Hellman (ECDH)密钥生成和交换算法来保护密钥和加密文件,并具有通过枚举可用网络资源来扩展其加密的能力。
Raid.png

http://chuongdong.com/reverse%20 ... 03/BabukRansomware/


6 日产公司因Git服务器配置错误泄露源代码

日产北美公司开发和使用的移动应用程序和内部工具的源代码,在该公司错误配置其一台Git服务器后在线泄漏。从匿名来源获悉泄漏事件的工程师表示,泄露源于一个Git服务器使用了默认用户名和密码组合admin/admin,工程师通过分析日产数据,发现泄露的Git存储库包含源代码有日产NA Mobile应用程序、部分日产ASIST诊断工具、经销商业务系统/经销商门户、日产内部核心移动代码库、日产/英菲尼迪NCAR/ICAR服务、客户获取与保留工具、销售/市场研究工具+数据、各种营销工具、车辆物流门户、车辆联网服务/日产联网以及其他各种后端和内部工具。泄露数据本周一开始在Telegram和黑客论坛上传播后,该Git服务器已在周二下线。目前,日产发言人证实了这一事件,并表示正在进行调查。
nissan-content.png

https://www.zdnet.com/article/ni ... o-misconfiguration/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 11:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表