1 GreyEnergy使用网络钓鱼电子邮件对ICS进行攻击
在乌克兰和波兰发现的GreyEnergy ICS恶意软件使用网络钓鱼邮件成功感染目标,邮件中的恶意Word文档是用乌克兰语写的,页面顶部清楚地显示安全警告,并用红色标明文字建议用户启用宏。打开文档后,它会尝试加载远程图像(可能在启用宏之前发生)。恶意软件使用oledump工具解压缩和提取恶意代码,一旦用户启用宏,就会自动执行Document_Open()函数。它调用函数Test(),然后调用包含恶意代码的HashCheck()。攻击者使用Base64编码对字符串进行模糊处理,主要目的不是保护字符串,而是避免网络安全产品执行基于模式的检测。宏连接到远程主机并下载一个打包的投放器,用于在系统内植入持久的后门。投放器和后门可执行文件都包含在打包器内,使用自定义算法加密,并使用LZW的变体进行压缩。
https://www.nozominetworks.com/2 ... maldoc-to-backdoor/
2 Emotet在新活动中针对拉丁美洲分发XML诱饵文档
ESET研究人员发现了Emotet最近的大规模的垃圾邮件活动。在黑色星期五,攻击者大量分发扩展名为.doc的XML诱饵文件,而不是之前观察到的DOC和PDF文件。Emotet目前正在分发各种银行恶意软件,包括Ursnif,TrickBot和最常见的IcedId。IcedId还下载了另一个有效载荷Azorult。拉丁美洲似乎是受影响最大的地区之一,墨西哥、厄瓜多尔和阿根廷受到的攻击最多,受攻击最多的国家中美国排在前五位,英国和南非排在前十位。
https://www.welivesecurity.com/2 ... nfected-xml-macros/
3 Valdez市受到Hermes勒索软件攻击支付超过2.6万美元
阿拉斯加州Valdez市承认受到Hermes勒索软件攻击,攻击发生在2018年7月,导致27台服务器和170台计算机瘫痪。由于没有其他任何办法可以恢复受影响的系统,该市官员支付了支付4比特币,价值26,623.97美元。支付之前市政官员和第三方公司进行了测试,验证黑客组织确实可以解密他们的数据。目前这座城市的IT系统正在一个一个慢慢重新上线。
https://www.zdnet.com/article/ci ... nsomware-infection/
4 研究人员发现Rowhammer攻击变体可绕过ECC内存
研究人员2015发现,通过重复读取存储在DRAM中的一行中的数据,他们可以操纵存储在其他存储器行中的数据并导致数据损坏。该漏洞被称为Rowhammer,可以让攻击者获得对系统的访问权限。研究人员发现了一种新的Rowhammer攻击变体,并发现该攻击可以绕过ECC内存。研究人员观察到新的漏洞利用能够调转两个比特位,不受信任的应用程序可以获得完全管理权限,逃避沙盒或虚拟机管理程序的检测,或者破坏运行易受攻击的双列直插式内存模块(DIMM)的设备。但是,使用该变体进行成功的攻击尝试存在一些挑战,执行ECCploit攻击需要32分钟到一周的时间。
https://cyware.com/news/eccploit ... ecc-memory-05b5ca4d
5 研究人员发现Linux内核中存在两个拒绝服务漏洞
CVE-2018-19406漏洞存在于Linux内核的kvm_pv_send_ipi函数中,影响Linux内核版本高达4.19.2,允许攻击者使用特殊系统调用触发DoS状态。此外,高级可编程中断控制器(APIC)映射无法正确初始化,也可能会触发该问题。CVE-2018-19407存在于kvm_pv_send_ipi函数内核函数中,该函数可以在Arch /x86/kvm/lapic.c源代码文件中找到。由于I / O高级可编程中断控制器(I / O APIC)无法初始化,攻击者可以通过提交恶意的系统调用来触发NULL指针延迟条件来利用该漏洞。
https://news.softpedia.com/news/ ... atched-523955.shtml
6 VMware发布安全更新修补PWN竞赛中发现的漏洞
VMware发布了安全更新,以修补研究人员在最近在天府杯PWN竞赛中发现的漏洞(CVE-2018-6983),这是一个影响虚拟网络设备的整数溢出漏洞,允许客户虚拟机在主机上执行代码。影响任何平台上的Workstation 14.x和15.x,以及macOS上的Fusion 10.x和11.x版本。
https://securityaffairs.co/wordp ... -critical-flaw.html
|
发表于 2018-11-24 21:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡