1 MuddyWater使用多阶段后门POWERSTATS V3
趋势科技发布上半年观察到MuddyWater攻击活动分析报告。其中MuddyWater在针对约旦大学和土耳其政府的鱼叉式网络钓鱼攻击中,投送了一个新的基于PowerShell的多阶段后门POWERSTATS v3,并通过异步方式向受害者的发送命令来启动第二阶段攻击,下载另一个后门。其它活动中MuddyWater通过恶意宏或模板注入的方式投送了SHARPSTATS、DELPHSTATS、POWERSTATS有效载荷。在成功破坏目标之后还部署了多个开源工具,包括CrackMapExec、EmpireProject、Meterpreter等。研究人员还发现与MuddyWater有关的四个伪装成合法应用程序的Android恶意软件变种。MuddyWater通过使用其它国家语言等进行嫁祸。
https://blog.trendmicro.com/tren ... exploitation-tools/
wp_new_muddywater_findings_uncovered.pdf
(1.08 MB, 下载次数: 27)
2 FIN8新活动针对酒店业传播ShellTea后门变种
Morphisec实验室观察到一种新高度复杂的ShellTea/PunchBuggy后门恶意软件,试图渗透到酒店娱乐行业客户网络中的机器。此次攻击活动疑似由FIN8发起,部分指标(URL和基础设施)与FIN7组织重叠。攻击初始采用网络钓鱼的攻击形式,成功渗透后,恶意软件通过注册表持续存在。然后执行PowerShell代码,通过执行.NET程序集以执行ShellCode,将ShellTea注入资源管理器执行。ShellTea通过固件的虚拟环境、寻找监控流程、验证硬盘卷来识别虚拟环境和绕过沙箱检测。ShellTea是代理感知恶意软件,使用HTTPS通信,支持多命令。侦察阶段使用PowerShell脚本收集信息,PowerShell由项目中反射加载的ReflectivePicker执行。
http://blog.morphisec.com/security-alert-fin8-is-back
3 黑客利用Oracle漏洞和混淆恶意代码的证书挖矿
趋势科技确认Oracle WebLogic Server的反序列化漏洞(CVE-2019-2725)已被攻击者利用挖矿,恶意软件将其恶意代码作为一种混淆策略隐藏在证书文件中。目标机器被感染后,首先利用漏洞执行PowerShell命令,从C2服务器下载证书文件,文件看似为普通的隐私增强邮件(PEM)格式证书。然后使用组件CertUtil(用于管理Windows中的证书)解码,发现其实际为PowerShell命令。PowerShell将执行在删除证书文件之前创建的PowerShell脚本,脚本执行文件为门罗币(XMR)挖矿恶意软件。
https://blog.trendmicro.com/tren ... liver-monero-miner/
4 研究人员披露硬件安全模块HSM远程利用漏洞
Ledger研究人员在HSM(硬件安全模块)中发现了可远程利用的漏洞,允许未经身份验证的远程攻击者完全控制供应商的HSM。HSM是一种硬件隔离设备,它使用高级密码学如数字密钥、密码、PIN,来存储、操作和处理敏感信息,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商。研究人员首先使用对其测试HSM的合法SDK访问来上传固件模块,该模块将在HSM内部为其提供shell。然后,使用shell在PKCS#11命令的内部实现上运行缓冲器,以找到可靠、可利用的缓冲区溢出。只需从主机调用PKCS#11驱动程序就可以从HSM外部利用。然后研究人员编写了一个覆盖访问控制的有效载荷,并通过HSM中另一个问题,将允许上传任意(未签名)固件。最后编写了一个可以转储所有HSM机密的模块,并将其上传到HSM。
https://www.zdnet.com/article/ma ... viders-governments/
5 VLC播放器发布安全更新版本3.0.7修复43个漏洞
VLC发布安全更新版本3.0.7修复了43个安全漏洞,其包括2个高安全性问题,21个中等安全问题和20个低安全性问题。两个高安全性问题是驻留在faad2库中的越界写操作和新RIST模块中VLC和栈缓冲区溢出的依赖关系。中等安全问题主要是带外读取、堆溢出、空取消引用和使用后释放。低安全性问题主要是整数溢出、除零和没有实际影响的带外读取。
https://gbhackers.com/vlc-3-0-7-released/
6 游戏网站Emuparadise中110万账户数据遭泄露
Emuparadise复古游戏网站在2018年4月遭遇数据泄露。该事件暴露了大约110万Emuparadise论坛成员的帐户信息,包括电子邮件地址、IP地址、存储为加密盐MD5哈希值的密码和用户名。研究人员于2019年6月9日从DeHashed.com收到了一个数据库,该数据库包含来自2018年4月Emuparadise vBulletin论坛的1,131,229个帐户,目前尚不清楚DeHashed如何获得对这个数据库的访问权限,但黑客论坛的用户自2019年1月以来一直出售或交易Emuparadise数据库。
https://www.bleepingcomputer.com ... ch-of-11m-accounts/
|
发表于 2019-6-10 21:22