设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181126)
返回列表 发新帖

每日安全简讯(20181126)

[复制链接]
发表于 2018-11-25 22:10 | 显示全部楼层 |阅读模式
1 研究人员发现FIN7组织11月的两次新攻击

研究人员发现FIN7组织十一月份的两个新活动,最初的文件可能是从波罗的海地区发送的(或在那里进行测试),使用社交工程说服接收者启用宏,一旦启用,则运行混淆的宏,并从表单标题中提取下一阶段混淆的JavaScript。攻击者稍微修改了复制wscript.exe文件并将其重命名为mses.exe。这可能允许它绕过一些按名称跟踪WScript的EDR的检测方式。反混淆的JavaScript实际上是一个后门组件,它直接与C2服务器通信。在第一次请求期间,MAC地址和计算机域也被传送到目标C2。研究人员认为因为第一个请求中提供的数据非常有限,下一阶段会针对基于域的特定目标。
 1.png

http://blog.morphisec.com/fin7-n ... -spots-new-campaign

2 研究人员发现新的Linux挖矿木马BtcMine

研究人员发现一种新挖矿木马。这种新的恶意软件应用程序没有明确的命名,但通常以Linux.BtcMine.174被检测到。该木马是包含1000多行代码的巨型shell脚本,该脚本是在受感染的Linux系统上执行的第一个文件,会在磁盘上找到一个具有写权限的文件夹,然后复制自己,并下载其他模块。一旦木马下载完成,就会使用CVE-2016-5195(也称为Dirty COW)和CVE-2013-2094 两种特权升级漏洞中的一种获取root权限从而获得对操作系统的完全访问权限。然后该木马将自己设置为本地守护进程,如果该实用程序不存在,会下载nohup实用程序来实现此操作。木马完全控制主机后,会进行加密货币挖掘。它还会下载另一种木马Bill.Gates,这是一种已知的DDoS恶意软件,具有许多类似后门的功能。该木马还会收集有关受感染主机通过SSH连接的所有远程服务器的信息,并尝试连接到这些计算机进行传播。
 2.jpg

https://www.zdnet.com/article/ne ... les-your-antivirus/

3 微软发布Outlook新补丁解决升级崩溃问题

微软上周五(11月23日)警告称,其11月份发布的64位版本安全更新KB 4461529会导致Outlook 2010崩溃,但微软建议用户不要删除更新,因为KB 4461529更新修补了四个远程代码执行漏洞。微软本周发布了面向Outlook 2010的KB 4461585,修复了KB 4461529引起的崩溃问题。更新仅适用于Office 2010的.msi版本,而不适用于Office 365 Home 。
 3.jpg

https://www.zdnet.com/article/mi ... ches-are-now-fixed/

4 Apache Hadoop被发现受Zip Slip漏洞影响

研究人员发现Zip Slip漏洞影响Apache Hadoop,允许群集用户发布可影响运行YARN节点管理器守护进程的用户所拥有的其他文件的公共存档。这将允许攻击者在脚本文件中注入任意命令,或更改可执行文件。攻击者可以利用不充分的文件名,将解压缩文件的文件夹设置为目标系统上的现有文件夹。
 4.png

https://www.theregister.co.uk/20 ... slip_vulnerability/

5 巴西工业协会FIESP发生大规模数据泄露

研究人员发现了三个包含个人记录的数据库,可以在11月12日通过Elasticsearch搜索引擎访问。最大的数据源有3480万条数据。这三个数据库属于巴西圣保罗州工业联合会(FIESP),FIESP是巴西工业领域最大的集团实体,包含约13万家公司。泄露的记录包括姓名、身份证和社会安全号码,以及完整的地址、电子邮件和电话号码。FIESP在一份声明中表示正在调查其数据库的访问权限,并且未发生任何严重事故。
 5.jpg

https://www.zdnet.com/article/br ... -massive-data-leak/

6 美国邮政服务暴露6000万用户的详细信息

美国邮政服务部门在一年多的时间里忽略了一项身份验证监督,将6000万用户的帐户详细信息暴露给登录Web服务的任何人。研究人员发现应用程序编程接口(API)是USPS用于支持其Informed Visibility服务的Web组件,它不包括用于读取属于其他用户帐户的数据的正确访问控制,例如他们的电子邮件地址、用户名、用户ID 、帐号、街道地址或电话号码。nformed Visibility是一个程序,它使用批量邮件发送服务向实体提供“近实时信件和平邮件跟踪信息”。要获取信息,攻击者只需在系统中运行查询即可。他们还可以使用通配符来检查共享搜索参数的用户的记录,例如街道地址。
 6.png

https://www.bleepingcomputer.com ... rs-for-over-a-year/


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:43

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表