1 安全厂商披露INDRIK SPIDER组织攻击演进路线
INDRIK SPIDER是一个复杂电信诈骗组织,自2014年6月以来一直在使用Dridex进行攻击。在2015年和2016年间,Dridex是市场上最多产的银行木马之一。2017年8月,名为BitPaymer的新勒索软件变种攻击了英国的国民健康服务(NHS)。BitPaymer的加密和赎金功能在技术上并不复杂,但恶意软件包含多个与Dridex重叠的反分析功能,分析表明BitPaymer是INDRIK SPIDER开发的。在最近的BitPaymer活动中,攻击者入侵的合法网站,利用社交工程诱骗用户下载和运行恶意可执行文件。下载后Dridex加载程序和PowerShell Empire在受感染的主机上运行。Dridex加载程序有收集有关主机上当前用户信息的功能。PowerShell Empire是一种专为渗透测试而开发的后期开发代理,用于在主机之间横向移动。PowerShell Empire会在受害者网络的服务器上部署Mimikatz模块。研究人员发现两种下载BitPaymer的方法,一种是直接在这些服务器上下载和执行BitPaymer恶意软件。另一种是BitPaymer恶意软件被下载到受害者网络中的网络共享,并且调用的启动脚本gpupdate.bat通过域控制器的组策略对象(GPO)推送到网络上的所有主机。BitPaymer恶意软件的两种变体都具有多种阻碍分析的技术。
https://www.crowdstrike.com/blog ... argeted-ransomware/
2 HookAds恶意广告利用Fallout EK传播恶意软件
HookAds恶意广告活动最近一直活跃,并将访问者重定向到Fallout Exploit Kit。一旦工具包被激活,它将尝试利用Windows中的已知漏洞来安装不同的恶意软件,例如DanaBot银行木马、Nocturnal信息窃取程序和GlobeImposter勒索软件。HookAds在成人网站、在线游戏或黑帽搜索网站常用的低质量广告网络上购买廉价广告空间。这些广告包含JavaScript,通过大量的诱饵网站重定向访问者,这些网站看起来像本地广告、在线游戏或其他低质量页面。在某些情况下,Fallout漏洞利用工具包会在用户不知情的情况下加载,该工具包将尝试安装其恶意软件负载。
https://www.bleepingcomputer.com ... allout-exploit-kit/
3 Mylobot僵尸网​​络被发现传播Khalesi恶意软件
Mylobot是一个全球僵尸网络,其感染端点的恶意软件能够在感染主机后下载并执行任何类型的有效载荷,因此它可以随时下载攻击者所需要的恶意软件。研究人员发现Mylobot感染主机后将Khalesi恶意软件作为第二阶段下载到受感染的主机上,Khalesi恶意软件被卡巴斯基认为是2018年下载量最大的恶意软件系列之一。Mylobot包含复杂的反VM和反沙箱技术,当它试图联系C2时,恶意软件使用一组1404个硬编码的域名和端口对。研究人员还发现大约18,000个独特的IP地址与Mylobot的C2连接。这些IP地址来自伊拉克、伊朗、阿根廷、俄罗斯、越南等。
https://www.netformation.com/our ... -global-infections/
4 安全厂商联合发布Magecart威胁组织分析报告
RiskIQ和Flashpoint联合发布Magecart威胁组织分析报告。Magecart至少由七个威胁组织组成,一直以来致力于收集用户的信用卡记录,包括Ticketmaster、英国航空公司和Newegg在内的数十个电子商务网站都被Magecart攻击。报告介绍了其中六个小组,第1组和第2组使用自动化工具来破坏和浏览网站,通过复杂的计划获利。第3组尽可能地寻求大量目标,其窃取程序是独一无二的。第4组技术非常先进,能够隐蔽自己避免检测。第5组入侵了Ticketmaster,擅长通过第三方供应商入侵更多目标。第6组以英国航空公司和Newegg等顶级公司为目标,窃取较大的流量和交易。第七个组织假冒耐克网站进行攻击,与Magecart相关联。
https://www.riskiq.com/blog/exte ... nt/inside-magecart/
RiskIQ-Flashpoint-Inside-MageCart-Report-compressed.pdf
(6.13 MB, 下载次数: 61)
5 研究人员披露七种新的CPU执行预测攻击手段
2018年年初,研究人员发现了一系列利用现代高性能处理器的推测执行能力的攻击Meltdown和Spectre。研究小组发表了一篇新论文,披露了更多针对幽灵和熔毁家族的攻击。Meltdown攻击和1级终端故障(L1TF)攻击有类似的工作方式:尝试访问禁止访问的内存。在新的研究中,这些Meltdown变体与一个使用英特尔“用户空间保护密钥”(PKU)的新变体​​相结合。Skylake引入的保护密钥允许应用程序使用四位密钥标记内存块。应用程序将处理器设置为使用特定保护密钥,在此期间,尝试访问标有不同密钥的内存将产生错误。在进行无效访问和处理器报告错误之间可能会发生几纳秒的推测时间,可能导致信息泄露。英特尔扩展Memory Protection eXtensions(MPX),在尝试执行越界访问之后,在生成“越界”错误之前执行几纳秒的推测,同样可以使信息泄漏。Spectre变体也遵循类似的模式,处理器预测分支将采用一种方式并基于该预测推测性地执行。然后它发现预测是错误的并且撤消其推测,但它以可测量的方式干扰缓存,从而使信息泄露。
https://arstechnica.com/gadgets/ ... -execution-attacks/
6 Facebook新漏洞可暴露用户及朋友私人信息
Facebook已经报告了一个新的安全漏洞,攻击者可利用该漏洞获取有关用户及其朋友的某些个人信息。该漏洞是由Imperva的安全专家发现的,它存在于Facebook搜索功能显示用户提供的查询结果的方式中。显示用户查询结果的页面包括与每个结果相关联的iFrame元素,这些iFrame关联的URL容易受到跨站点请求伪造(CSRF)攻击。攻击者只需要诱骗用户访问他们已登录Facebook帐户的Web浏览器上的特制网站就可以利用该漏洞。该漏洞已被修补。
https://securityaffairs.co/wordp ... k-flaw-privacy.html
|
发表于 2018-11-15 21:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡