找回密码
 注册创意安天

每日安全简讯(20180824)

[复制链接]
发表于 2018-8-23 21:45 | 显示全部楼层 |阅读模式
1 360发布GlobeImposter勒索攻击事件安全预警

360企业安全监测到,2018年8月21日起多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。
1.jpg

https://www.anquanke.com/post/id/157562


2 安全厂商披露Lazarus组织AppleJeus行动细节

在过去几个月中,Lazarus组织侵入了几家银行,并渗透进入一些全球加密货币交易所和金融科技公司,其中之一是亚洲某国(卡巴斯基未公布是哪个国家)的加密货币交易平台。公司的一名员工未能识别Lazarus投放的鱼叉钓鱼邮件,打开并下载了一个看似来自合法加密货币交易软件公司(Celas LLC)的应用程序。然而,该应用程序感染了恶意程序--它在安装完成之后会立即执行一个Updater.exe进行升级,实际上则是收集受害者的操作系统类型及版本等信息,加密后发送给C&C服务器,并下载相应的远程访问木马(RAT),以安装在受害者计算机中。与此前Lazarus组织的活动不同的是,它不只有针对Windows操作系统的Fallchill,还有针对MacOS的版本(这是以前没有过的),并且还将推出Linux版本。另一点尚不明确的是,由于上述C&C服务器也属Celas公司所有,因此目前无法判别是该公司服务器被入侵,还是它根本就是由攻击者所创建的。
2.png

https://securelist.com/operation-applejeus/87553/


3 Cutwail僵尸网络通过垃圾邮件向日本传播木马

趋势科技最新发现Cutwail僵尸网络分发滥用IQY的垃圾邮件活动,该活动专门针对日本用户,并提供银行木马BEBLOH和数据窃取URSNIF恶意软件。8月6日检测到第一批垃圾邮件,垃圾邮件使用传统的社会工程学试图诱骗用户点击IQY附件,用户打开后将查询其代码中指示的URL。Web查询文件包含一个脚本,该脚本滥用Excel的动态数据交换(DDE)特性,从目标URL提取到Excel文件。然后执行PowerShell进程,该进程检查受感染计算机的IP地址是否位于日本,日本IP将触发BEBLOH或URSNIF的最终荷载,非日本的IP将不会下载荷载。在8月8日检测到的第二批垃圾邮件中,混淆了用于下载最终荷载的PowerShell脚本,URSNIF已成为荷载中唯一的恶意软件。此活动于8月9日消失,过程中设法分发了大约500000封垃圾邮件。
3.jpg

https://blog.trendmicro.com/tren ... -bebloh-and-ursnif/


4 安全厂商揭示APT组织Turla使用的Outlook后门

Turla至少从2013年起已开始使用这一后门,并对它不断完善和扩展,从最初仅用于转储电子邮件内容,目前借助开源工具Empire PSInject已发展为可执行PowerShell命令的强大工具。在最近的版本中,该后门是一个独立的DLL文件 ,可以自我安装,并与Outlook和The Bat!邮件客户交互。1. 它不与C&C服务器连接。而是通过定制的PDF文件来接收更新和指令,即攻击者可以选择任意邮箱,将定制PDF文件发送到受害者邮箱。2. 持久化通过COM对象劫持来实现。在Outlook加载COM对象时自动加载恶意DLL。3. 隐蔽性依赖于合法的消息应用程序接口(MAPI),实现与Outlook交互,并进入目标邮箱。研究表明,攻击者使用邮件传输层来投放定制PDF文档,进行指控控制;信息窃取和渗出也通过同样路线实现。
8.png

https://www.welivesecurity.com/2 ... e-outlook-backdoor/
Eset-Turla-Outlook-Backdoor.pdf (1008.32 KB, 下载次数: 31)


5 Necurs僵尸网络启动新一轮针对特定银行攻击

继上周发生通过恶意的PUB文件侵入FlawedAmmyy恶意软件的Necurs僵尸网络活动后,8月21日美国东部时间上午9点,安全公司Cofense发现Necurs僵尸网络开始了另一场针对特定银行的攻击活动。攻击者将电子邮件伪装成来自南非的Capitec银行,带有恶意PDF文件附件,用户打开后,包含的javascript将尝试从PDF中打开一个嵌入式PUB文件,此时宏被起用,宏从UserForm1.Frame1.Tag中读取值并对其中的内容执行GET请求。这一系列活动与之前的活动相同,其中几乎没有针对所有组件的反病毒检测。
5.jpg

https://cofense.com/update-necur ... re-delivery-method/


6 研究人员发现新型安卓平台间谍软件框架Triout

Bitdefender的安全研究人员发现了一个名为Triout的新Android间谍软件框架,该框架可用来窥探Android应用程序。研究人员称该间谍软件框架的C&C服务器自2018年5月以来一直在运行,并且现在仍处于启动和运行状态。今年5月15日,Triout首次从位于俄罗斯IP地址被上传到VirusTotal平台,但其它大部分来自以色列。恶意软件可能通过托管恶意代码的攻击者控制的第三方市场或域传播,具有广泛的监控功能。
7.jpg

https://securityaffairs.co/wordp ... ware-framework.html
Bitdefender-Whitepaper-Triout-The-Malware-Framework-for-Android-That-Packs-Poten.pdf (3.48 MB, 下载次数: 42)

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 09:38

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表