1 研究人员发现Turla组织开发的新PNG投放器样本
NCC Group研究人员发现Turla组织新的PNG投放器样本,内部命名为RegRunnerSvc。PNG投放器于2017年8月首次被发现,用来分发Snake。投放器的目的是加载和运行隐藏在许多PNG文件中的PE文件。PNG投放器将从其PNG资源解码并运行RegRunnerSvc。RegRunnerSvc的目的是从注册表中提取加密的有效载荷,将其加载到内存中,然后运行。第一阶段的投放器已经将恶意软件作为服务安装并执行了一些额外的设置操作。执行服务设置完成后,恶意软件将在注册表中查找数据。通常,注册表值的路径将存储为二进制文件中的(可能是加密/混淆的)字符串,但该恶意软件使用RegEnumKeyExA和RegEnumValueA函数枚举注册表项和值。枚举从HKEY_LOCAL_MACHINE键的根开始,并继续使用深度优先搜索,直到找到数据或枚举耗尽为止。要调用解密函数的唯一要求是值数据的大小为0x200(512)字节。如果第一阶段投放器没有执行其设置操作,解密功能将相对快速地退出。注册表中的数据包含加密的有效负载和解密它所需的数据。它不包含解密密钥,但它包含用于生成密钥的数据。主要有效负载使用AES算法加密。生成密钥并设置解密属性后,将解密有效在载荷。然后检查解密的有效负载以确保它是有效的PE文件,如果检查通过,则手动加载文件(导入和重定位)并调用入口点。
https://www.nccgroup.trust/us/ab ... ng-dropper-is-back/
2 安全厂商发布APT29最近钓鱼活动的进一步分析
针对APT29假冒国务院官员针对美国许多重要实体的鱼叉式网络钓鱼攻击,Yoroi发布了进一步分析。整个有效载荷包含在.lnk文件的特定隐藏位置,双击链接运行一个powershell命令,从.lnk文件的隐藏部分中提取另一个脚本。此有效内容包含在文件位置0x0005E2BE和0x0000623B6之间。在解码命令之后,可以提取dll有效载荷的恶意软件删除器的实际代码和欺骗性PDF文档。实际上,仅当受害者计算机安装64位操作系统时才执行有效载荷。有效负载配置了一系列技巧,使其更加隐蔽:“ pandorasong.com”C2撤销了合法的“ pandora.com”域名,该域名是美国最受欢迎的音乐流媒体服务之一;与C2的交互通过加密的SSL通道进行;HTTP请求专门用于模仿与Pandora服务器的合法通信,相关的Cobalt Strike通信配置文件可在github上公开获取。User-agent和HTTP请求的参数匹配,cookie具有相同的名称和结构。此外,恶意软件的请求包含官方Pandora服务使用的自定义标头,例如“ GetContentFeatures.DLNA.ORG”。使用包含完整有效负载的链接文件是APT29武器库中一种强大的技术。
https://blog.yoroi.company/resea ... ampaign-old-habits/
3 新的Aurora勒索软件变种Zorro通过RDP传播
研究人员发现Aurora勒索软件的一种新变种,被称为Zorro,使用远程桌面协议(RDP)来感染系统。攻击者将暴力破解RDP帐户的密码,以访问计算机并安装勒索软件。此勒索软件使用一个固定的比特币地址,自9月底以来共有105笔交易,共计2.7比特币(价值超过12,000美元)。勒索软件还能够根据其IP地址确定受害者所在的国家/地区,字符串“Russia”表明勒索软件可能会避免感染俄罗斯用户。勒索软件查找目标文件类型并进行加密,使用.aurora为扩展名,并在每个文件夹中创建勒索文档。目前安全研究人员已经找到了一种免费解密Zorro勒索软件的方法。
https://www.bleepingcomputer.com ... -being-distributed/
4 安全厂商披露针对俄罗斯的移动木马Rotexy
Rotexy家族的移动木马在2018年8月至10月的三个月内针对俄罗斯的用户发起了70,000多起攻击。该木马家族是从2014年10月首次发现的短信间谍软件发展而来的,同时使用三个命令源:Google Cloud Messaging(GCM)服务、恶意C&C服务器和传入的短信。Rotexy的新版本结合了银行木马和勒索软件的功能。自2014年被检测到以来,Rotexy主要功能和传播方法没有改变:通过网络钓鱼短信中发送的链接进行Rotexy传播,提示用户安装应用程序。启动时,它会请求设备管理员权限,然后开始与其C&C服务器通信。最新版本的Rotexy在第一次启动时会检查它是否在仿真环境中启动,以及它在哪个国家/地区启动。如果设备位于俄罗斯境外或是模拟器,则应用程序将显示存根页面。木马的日志包含俄语记录,由语法错误和拼写错误。如果检查成功,Rotexy将向GCM注册并启动SuperService,以跟踪木马是否具有设备管理员权限。如果停止,SuperService还会跟踪自己的状态和重新启动。它每秒执行一次特权检查。如果用户同意并向应用程序提供所请求的权限,则会显示另一个存根页面,并且应用程序会隐藏其图标。如果木马管理员权限被阻止,则会立即关闭电话屏幕,停止用户操作。如果撤销了权限,则木马会重新启动请求管理员权限。
https://securelist.com/the-rotex ... d-ransomware/88893/
5 研究人员披露Apple macOS中三个关键零日漏洞
Dropbox团队披露了影响Apple macOS操作系统的三个关键零日漏洞(CVE-2017-13890,CVE-2018-4176,CVE-2018-4175),攻击者可以利用这些漏洞在Mac计算机上远程执行任意代码。CVE-2017-13890漏洞影响了macOS的CoreTypes组件,通过处理恶意制作的网页可能会导致自动挂载磁盘映像。CVE-2018-4176漏洞绑定了磁盘映像处理.bundle文件的方式,挂载恶意磁盘映像可能会导致启动应用程序。CVE-2018-4175 可以被利用来绕过使用恶意制作的应用程序的macOS Gatekeeper安全功能,从而导致任意执行代码。
https://securityaffairs.co/wordp ... ero-day-issues.html
6 软件公司OSIsoft遭遇数据泄露暴露域名和账户
软件公司OSIsoft提供实时数据管理解决方案,其核心产品是开放式企业基础架构PI System。该公司遭到黑客入侵,黑客使用被盗凭证远程控制公司系统,访问了OSI域登录帐户名、电子邮件地址和密码,尽管Active Directory(AD)使用加密保护方法,但用户个人凭证可能已被盗用。该公司仍在调查安全漏洞,并且重置受损密码,还通知受影响的人更改外部服务的密码。
https://securityaffairs.co/wordp ... ft-data-breach.html
|
发表于 2018-11-23 20:44
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡