1 黑客在新活动中使用Azorult变体作为有效载荷
Azorult是一个木马家族,通过垃圾邮件分发,或在RIG漏洞利用工具包活动中作为次要有效载荷。Unit 42研究人员发现新的攻击活动使用Fallout漏洞利用工具包,并将Azorult变体作为主要有效载荷。由于最终的漏洞利用网页都位于域findmyname.pw,该活动被称为FindMyName。第一阶段,恶意URL重定向用户到findmyname.pw,最终利用页面会下载Azorult恶意软件,虽然五个最终页面不相同但是内容是相似的。Fallout漏洞利用包使用几个html标签(例如span,h3和p)来隐藏真正的漏洞利用代码,其中包含高度混淆的标记内容。解密后,真正的VBScript代码利用了VBScript漏洞 CVE-2018-8174。漏洞利用成功后,此Fallout漏洞利用包会将“.tmp”文件下载到%Temp%目录并调用CreateProcess来执行它。进一步分析显示,“.tmp”文件是Azorult恶意软件的最新变种。Azorult使用流程挖空技术来构建新的恶意软件映像。首先,样本解密内存中的有效载荷。然后,创建一个新的自身暂停过程。当样本将解密的有效载荷注入新进程后,恢复执行过程并展示了恶意行为。从进程中转储的新木马文件是用Delphi语言编写的。当样本执行时,它会立即连接到C2服务器。为了逃避入侵防御系统(IPS),C2流量被混淆。通过使用散列算法对机器GUID、Windows产品名称、用户名和计算机名进行编码,发送回C2的数据包括每个受害者机器的唯一受害者ID。攻击者可以远程控制受感染的系统,通过Create Process或ShellExecute执行任何文件。这种Azorult的新变种还具有使用本地系统特权执行恶意软件的能力。
https://researchcenter.paloalton ... allout-exploit-kit/
2 运动服品牌Umbro网站上被植入多个Magecart窃取器
运动服品牌Umbro网站受到Magecart入侵,在Umbro Brasil网站发现了两个Magecart窃取器。第一个分离器是通过一个假的BootStrap库域名加载的,此分离器不会被混淆,并在标准JSON输出中对数据进行渗透。另一个窃取器也存在Umbro Brasil上,但是被严重混淆。在发送表单数据之前,第二个窃取器会抓取信用卡号并用随机数替换其最后一位数字。通过篡改数据,第二个窃取器可以向竞争的窃取器发送无效但看起来正确的信用卡号,并可能通过验证测试并在黑市上销售,这会影响其他窃取器背后攻击者的信誉,这表明不同攻击者之间存在竞争。
https://blog.malwarebytes.com/th ... -umbro-brasil-hack/
3 物联网恶意软件Mirai被发现在Linux服务器上运行
研究人员在蜜罐中监控Hadoop YARN漏洞利用时发现Mirai可以在Linux服务器上运行。研究人员一直以来利用蜜罐网络跟踪Hadoop YARN漏洞的利用情况,每天有数以万计的利用尝试。只有极少数独特的来源才能提供如此多的漏洞利用尝试。Hadoop YARN漏洞是命令注入漏洞,允许攻击者执行任意shell命令。大量漏洞利用尝试和已发现的任何恶意软件有效载荷都没有使用Hadoop YARN漏洞以蠕虫方式传播,并且没有任何有效载荷是用Python编写。不同之处在于漏洞利用中提供的恶意软件。超过一半的二进制文件只由一个源地址提供。检查的样本中至少有十几个显然是Mirai的变体。
https://asert.arbornetworks.com/mirai-not-just-for-iot-anymore/
4 研究人员发现TrickBot新增POS恶意软件功能
研究人员发现TrickBot一个新增的POS恶意软件功能,如果受感染的计算机连接到支持POS服务和计算机的网络,新模块将扫描指示符。攻击者已经成功渗透了安装了POS相关服务的网络,但却没有获得特定数据,如信用卡、ATM或其他银行相关信息。攻击者可能正在收集信息,为将来的入侵做准备。新的POS提取模块psfin32与其先前的网络域收集模块类似,但仅用于识别位于感兴趣的域中的POS相关术语。通过域控制器和基本帐户识别网络中的POS服务,该模块使用LDAP查询访问Active Directory服务(ADS)。一旦TrickBot提取了信息,它就会将信息存储到其预先配置的“Log”文件中,以通过POST连接发送到其C&C服务器Dpost服务器。如果无法访问C&C服务器,则会提示“Dpost服务器不可用”。
https://blog.trendmicro.com/tren ... gger-bag-of-tricks/
5 Emotet银行木马发送以感恩节为主题的钓鱼邮件
研究人员发现Emotet银行木马在11月19日,开始了以美国为中心的以感恩节为主题的活动。电子邮件包含带有嵌入式宏的文档,该文档重定向用户到PowerShell下载程序,用于下载Emotet有效载荷。文档不是通常的.doc或.docx,而是伪装成.doc的XML文件。宏使用Shapes功能,最终导致使用shell函数调用一个vbHide的WindowStyle。
https://www.forcepoint.com/blog/ ... hanks-giving-emotet
6 亚马逊由于技术错误暴露了用户的个人信息
亚马逊遭到了数据破坏,许多读者收到了亚马逊发送的电子邮件,表示由于技术错误而无意中泄露了读者的姓名、电子邮件等个人信息。亚马逊的英国新闻办公室承认该电子邮件是真实的,并表示已经解决了这个问题,已告知可能受到影响的客户。亚马逊否认了人们对其遭遇攻击的说法,坚持该事件是无意的技术错误导致的。目前不清楚该公司是否通知了英国数据保护机构。
https://www.theregister.co.uk/2018/11/21/amazon_data_breach/
|
发表于 2018-11-22 21:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡