创意安天

 找回密码
 注册创意安天

每日安全简讯(20190309)

[复制链接]
发表于 2019-3-8 20:43 | 显示全部楼层 |阅读模式
1 安全厂商披露Operation Blackhat Voice攻击

2019年3月6日,EST Security确认了对朝鲜相公司的网络钓鱼攻击,认为是某APT组织所为。钓鱼文档标题为“请求审核”标题,并附上了“Protected.zip”文件。截至2月底,研究人员发现了两次攻击,间隔一周左右,文件名不同,但内部包含的恶意文件是相同的。在2月和3月进行的两次攻击中,攻击者使用了相同的加密压缩文件,它们是具有双扩展名的可执行文件(.exe),并且在同一天创建。这两个音频文件对于mp3和3gp声音文件都是可用的。加载恶意dll文件时,它会尝试与攻击者通过“addr.dat”文件隐藏的两个命令控制(C2)服务器进行通信,其中一个文件是基于FTP的Web服务器。
1.jpg

https://blog.alyac.co.kr/2182


2 安全厂商披露通过Slack进行通信的SLUB后门

趋势科技研究人员发现了新恶意软件SLUB,SLUB后门是一个用C ++编程语言编写的自定义后门,通过水坑攻击传播,每个访问者只被重定向一次。感染是通过利用VBScript引擎漏洞CVE-2018-8174完成的。利用此漏洞后,恶意软件下载DLL并在PowerShell中运行,然后下载第二阶段SLUB后门并执行。第一阶段下载程序(DLL)还会检查防病毒进程是否正在运行。研究人员发现恶意软件正在连接到Slack平台,Slack平台是一个协作消息系统,类似于IRC聊天系统,用户可以通过频道创建和使用自己的工作空间。
2.jpg

https://blog.trendmicro.com/tren ... unicates-via-slack/


3 安全厂商发布StealthWorker恶意软件分析

FortiGuard Labs发现StealthWorker(又名GoBrut)恶意软件活动,StealthWorker是一种使用蛮力破解的恶意软件,最早由Malwarebytes报道。恶意软件首先创建计划执行确保重新启动后仍然保留在受感染系统中。一旦恶意软件在系统中执行,就会连接到C2发送任务请求,它还会发送消息表明已经在运行恶意软件最新版本。恶意软件会从C2接收主机和凭证列表,以登录目标主机。每次向URL发出请求时,它都会收到一组新的主机和凭据。如果登录成功,恶意软件则将使用的主机和凭证报告给C2。
3.jpeg

https://www.fortinet.com/blog/th ... rm-army-of-bru.html


4 网络犯罪分子利用.tk域创建虚假网站进行诈骗

研究人员发现网络犯罪分子正在利用.tk域名创建虚假网站进行技术支持诈骗。目前,这些.tk域名正在重定向到各种虚假网站,包括外汇、信用卡和医疗保健。许多被域名抢注导致技术支持诈骗,比如诈骗者注册gmil[.]com冒充Google Mail。PopCash广告网络也被用来重定向用户到假的成人主题网站和一个声称是CNN的假药网站。研究人员还发现了一些托管在IP地址103.25.128.224上的虚假航空公司网站。这些虚假网站使用了相同的模板,联系号码和Google gtags。研究人员发现IP地址185.251.39.220和185.251.39.181分别托管了700多个和80个.tk域。这些站点注入了恶意脚本,负责恶意重定向链接。
4.png

https://www.zscaler.com/blogs/re ... s-create-fake-sites


5 Renderman MacOS版本中存在多个本地漏洞

Renderman是一部用于动画和电影制作的渲染应用程序,由电影工作室Pixar制作。其MacOS版本安装助手工具Dispatch中存在三个本地漏洞。这三个漏洞分别为CVE-2018-4054、CVE-2018-4055和CVE-2019-5015。攻击者可以利用这些漏洞权限升级为root。安装应用程序时,将安装辅助工具并以root身份启动。CVE-2018-4054和CVE-2018-4055影响Pixar Renderman 22.2.0版本,CVE-2019-5015影响22.3.0版本。
5.jpg

https://blog.talosintelligence.c ... man-local-2019.html



6 预测执行漏洞SPOILER影响所有英特尔处理器

马萨诸塞州伍斯特理工学院和德国吕贝克大学的研究人员发现英特尔CPU中的漏洞SPOILER,该漏洞类似于Spectre,但可能更危险。英特尔对内存子系统的专有实现的地址推测存在缺陷,该内存子系统直接泄漏了由于物理地址冲突导致的时序行为。与Spectre一样,此漏洞允许攻击者利用PC内存的工作方式来查看运行程序中的数据以及其他关键数据。该漏洞对所有英特尔核心处理器都是一种威胁,它可以对所有操作系统起作用,也可以在虚拟机或沙箱中使用。英特尔收到了此项研究的通知,表示希望通过采用边信道安全软件开发实践来保护软件免受此类问题的影响。
6.jpg
1903.00446.pdf (1.17 MB, 下载次数: 54)

https://cyware.com/news/newly-di ... intel-cpus-375094c5



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 15:09

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表