找回密码
 注册创意安天

每日安全简讯(20180808)

[复制链接]
发表于 2018-8-7 19:24 | 显示全部楼层 |阅读模式
1 三家美国支付机构DNS服务器遭BGP劫持

Oracle公司称,7月份三家美国支付处理商Datawire,Vantiv和Mercury支付系统的DNS服务器遭到BGP劫持,通过对网络路由攻击,将指向支付处理器的流量重定向到由恶意行为者控制的服务器,试图窃取数据。在2018年7月6日发生第一次针对Vantiv和Datawire公司的攻击,试图重新路由部分网络前缀或IP地址块,过程持续时间较短。并于7月10日再次试图重新路由相同前缀的攻击,过程持续30分钟。攻击者整个七月都在进行进一步的劫持,包括针对Mercury支付系统的一次攻击以及在7月13日持续3小时的对Vantiv和Datawire的另一次攻击。上月接连两次针对Datawire公司的攻击发生在10号和13号,Oracle观察到这两次攻击都将正常的网络流量从乌克兰东部Luhansk的IP路由到了位于荷兰加勒比海的Curaçao岛上,并猜测互联网基础设施正在受到直接攻击。Oracle称这些攻击与在4月份针对亚马逊DNS服务器的攻击类似,运用包括设置长TTL的相似手法,所以怀疑这两起攻击是相关的。
1 (2).png

https://www.bleepingcomputer.com ... -hijacking-attacks/


2 Ramnit恶意软件演变黑色僵尸网络

Check Point研究人员最近发现包括两个阶段的黑色僵尸网络攻击,第一阶段使用通过垃圾邮件分发的Ramnit恶意软件,在近两个月内发生了10万次感染。第二阶段是在2010年首次出现的Ngioweb恶意软件。背后的攻击者主要致力于创建恶意代理服务器网络,很有可能在这两个中间建立一个大型的多用途代理僵尸网络,可能会发生更大规模的攻击,此次只是冰山一角。Ramnit为Zeus银行木马演变,拥有广泛的信息过滤与提供后门的能力。Ramnit的僵尸网络C2服务器于2015年被欧洲刑警在几家私企公司的配合下端掉了。此次重新启动,使用相同的载荷,架构和加密算法,增强了保护恶意软件的规避技术和僵尸程序的管理,(更新的间谍软件模块)hook浏览器,监控URL网址,可实时盗取数据,并显示受害者被web注入情况,还针对网上银行会话的实时欺诈攻击构建了新的攻击方案。Ngioweb是一种多功能代理服务器包括作为常规反向连接代理和中继代理,并使用自身的二进制协议和两层加密,支持反向连接模式,中继模式,IPv4,IPv6协议,TCP和UDP传输。
fig3.png

https://threatpost.com/ramnit-ch ... lack-botnet/134727/


3 安全人员发现推特存在复杂僵尸网络

Duo Security的安全专家发现了隐藏在Twitter中的复杂僵尸网络,并将该发现的技术文档和数据搜集系统开源,以方便其他研究人员能继续进行其他类似研究。比如自动发现发推ID的“好”和“坏”。专家们分析8800万个Twitter帐户和超过5亿条推文开始研究这些工具,构建包含数百万个公共Twitter配置文件和内容的大型数据集,以及分析寻找自动帐户的数据集,通过数据集可以构建一个有效地发现大规模机器人的分类器。在实际的应用实践过程中,专家们发现了一个至少有15000个机器人的复杂僵尸网络,涉及加密货币骗局,向用户泄露恶意链接以获取钱财,或者通过模仿其他合法的Twitter账户,包括新闻机构等更小的规模上,劫持经核实的账户。此僵尸网络拥有清晰的结构,以一种特定方式连接机器人,而整个机器人以不同方式连接的其他群集,通过"灌水"的方式、甚至利用其他僵尸网络自动转发诈骗推文,逐步扩大传播面。其他的僵尸网络还能“点赞”、“转发”该推文,扩大加密货币骗局的整体传播范围。随着时间的推移,僵尸网络的分析和恶意基础设施的监控使专家能够发现机器人如何进化以逃避检测。目前Twitter正在努力实施新的安全措施来检测有问题的帐户。 Duo Security已将研究报告公开放在网上,源码则于8月8日在黑客大会公开。
3.jpg

https://techcrunch.com/2018/08/0 ... rths-crypto-botnet/
Duo-Labs-Dont-At-Me-Twitter-Bots.pdf (5.26 MB, 下载次数: 20)


4 澳大利亚发生使用FTP链接的网络钓鱼

2018年7月Trustwave发布报告称,发现针对于澳大利亚企业窃取银行数据和其他私人信息的一项网络钓鱼活动。攻击者将他们的信息通过带有恶意链接的电子邮件,伪装成当地会计软件公司MYOB发出的发票,用户点击此链接将被定向到带有DanaBot恶意软件模块化版本的一个文件传输协议(FTP)服务器。一旦这三个组件被激活,网络犯罪分子就可以通过比如受害者机器的屏幕截图将加密数据,发送回C&C服务器,在那里可以使用Tor等通道隐蔽地进行分发。使用FTP的方法使恶意电子邮件看起来比来自未知HTTP地址更合法。DanaBot银行木马被分解为多个高度加密的部分,意味着它具有足够的灵活性来逃避检测。
4.jpg

https://securityintelligence.com ... bot-banking-trojan/


5 Absa和MWEB客户端遭网络钓鱼攻击

MWEB和Absa客户端被使用最新手法的网络钓鱼邮件攻击,目的为窃取个人信息。该电子邮件声称来自MWEB,并带有一个HTML附件的网络钓鱼页面,该文件在浏览器中打开后是一个表格,请求用户填写用户名和密码,并要求用户发送到info@mailsynk[.]co[.]za,文中带有“用户的发票或收据要求附加到此电子邮件”的声明。然后攻击者将通过基本的PHP脚本获取到此信息,脚本由jehovalchristofficeinternatona.co[.]za域来托管。披露此事件的人员称在不通过查看HTML代码的情况下,存在许多警告信号表明这是一封诈骗邮件,包括该电子邮件不是来自MWEB或Absa,结构不合理,语法差,文中提到的PDF文件与.htm附件不符,没有个人化的信息,查看文件需要提供个人信息。
5.png

https://mybroadband.co.za/news/s ... d-mweb-clients.html


6 数百台HP Inkjet打印机存在安全漏洞

惠普产品安全响应小组PSRT称,数百台HP Inkjet打印机存在的两个严重安全漏洞CVE-2018-5924和CVE-2018-5925,被发送到受影响设备的恶意文件可能会导致堆栈或静态缓冲区溢出,从而允许远程代码执(RCE)。受影响的型号包括OfficeJet,DeskJet和Envy打印机的各种版本,以及DesignJet和PageWide Pro打印机,并且这166个消费者型号和商用多功能打印机可能会被利用其所连接的计算机网络。目前惠普已经为受影响的打印机发布了固件更新,并通过其软件和驱动程序页面发布,客户可以在其中搜索其特定型号。
6.jpg

https://www.zdnet.com/article/hp ... patch-now-warns-hp/


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 10:49

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表