1 新PowerShell后门与MuddyWater存在关联性
趋势科技研究人员在土耳其金融和能源的相关部门观察到基于PowerShell的新后门,该后门与APT组织MuddyWater所使用POWERSTATS相似,不同之处在于新后门使用云文件托管提供商的API完成与C2的通信。攻击首先通过典型的网络钓鱼文件进行传播,恶意附件名称使用土耳其语,内容包含一些土耳其政府组织的模糊标志的图像,以欺骗用户启用恶意宏,宏包含以base52编码的字符串,此种方法在过去被MuddyWater使用,用它来编码PowerShell后门。PowerShell代码有几层混淆,第一层包含base64编码和加密代码,其它层为简单的混淆PowerShell脚本,最后一层是后门主体。后门首先将搜集的信息连接成一个长字符串, 使用被用作异步机制的<md5(硬盘序列号)>名称文件进行最后通信。目前所有发现的样本文件都是从土耳其上传至VirusTotal。
https://blog.trendmicro.com/tren ... o-muddywater-tools/
2 伊朗组织利用媒体基础设施运营虚假情报活动
Clearsky Cyber​​ Security在2018年发现了几起伊朗操纵的虚假信息宣传活动,研究人员在报告中揭露了一个针对世界各地众多地区和人口的庞大的虚假新闻基础设施。其至少包括98家虚假媒体,每家都有自己的网站、社交媒体账号和在世界各地发布虚假新闻的网页,一些虚假的媒体也制造了虚假的移动应用。该基础设施面向28个国家,主要可分为4组:美国和欧洲、中东和北非、非洲和亚洲的穆斯林国家以及伊朗的盟国。该基础设施利用多种虚假信息和宣传技术,主要方法是从周围的合法媒体中复制或窃取文章,进行修改,传播符合伊朗国家利益的言论。这一基础设施由伊朗组织至少自2012年以来开始运营,已影响数百万读者。
https://www.clearskysec.com/glob ... ormation-operation/
Global-Iranian-Disinformation-Operation-Clearsky-Cyber-Security.pdf
(4.83 MB, 下载次数: 50)
3 新的加密矿工KingMiner劫持Windows服务器
CheckPoint研究人员发现了一个挖掘Monero货币的恶意软件KingMiner,主要针对Windows服务器的IIS\SQL。攻击分为两个阶段,第一阶段通过暴力破解来获取目标访问权限,在受害者计算机上下载并执行Windows Scriptlet文件,根据CPU架构,下载包含有效载荷的假冒ZIP文件,其实际是一个逃避检测的XML文件。第二阶段执行包含钱包地址和私有池的矿工XMRig配置文件,XMRig使用受害者机器的整个CPU。KingMiner最早出现在2018年6月中旬,并部署了两个改进版本,在攻击组成过程中使用几种混淆技术逃避检测,包括混淆32p.zip/64p.zip文件、仅执行主要的可执行文件powered.exe和从DLL文件导出函数等可执行文件、将md5.txt内容添加到DLL文件中、将x.txt/y.png内容解码为可执行文件XMRig CPU miner。目前KingMiner的感染,已从墨西哥传播到印度,从挪威传播到以色列,其感染范围不断扩大,攻击数量也在不断上升。
https://research.checkpoint.com/ ... roved-cryptojacker/
4 安全厂商发布银行恶意软件BackSwap活动报告
CheckPoint研究人员对银行恶意软件BackSwap在不被察觉的情况下窃取资金的独特而创新的技术进行关注,并对其演变和发展发布报告。BackSwap起初针对波兰的银行,但此后完全转向关注西班牙的银行。BackSwap是用汇编语言编写,隐藏在大量的合法且实用度高的合法软件中,将合法代码的执行转移到构成恶意软件逻辑的紧凑的shellcode中以逃避检测,简单有效地窃取银行凭证。BackSwap使用了一种罕见的技术,其中字符串不与代码分离但作为其组成部分驻留。由于自身位置的无关性,主要用于注入代码,从而处理PEB结构以查找已加载模块的列表,从中检索kernel32.dll的地址。javascript web-injects的内容是BackSwap的组件,它在版本和示例之间经常发生变化。BackSwap的第一批样本在2018年3月中旬被发现,最新版本在2018 年8月被发现,在过程中不断更新使其不断强大。
https://research.checkpoint.com/the-evolution-of-backswap/
5 Mirai蠕虫病毒新变种利用路由器漏洞进行攻击
近期腾讯安全云鼎实验室发现一款攻击路由器的蠕虫病毒Mirai的新变种,该变种不仅仅通过初代Mirai使用的 telnet爆破进行攻击,更多通过路由器漏洞进行攻击传播。被攻击的设备以及对应的漏洞为:NetGear 路由器任意执行漏洞(CNNVD-201306-024)、GPON 光纤路由器命令执行漏洞(CVE-2018-10561/62)、华为 HG532系列路由器远程命令执行漏(CVE-2017-17215)、Linksys多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞(CNVD-2014-01260)。Mirai感染全球多国家,其中中国、俄罗斯、日本和美国是受灾较为严重的国家。
https://www.freebuf.com/articles/terminal/190554.html
6 酒店业巨头万豪宣布数据泄露影响多达5亿客户
酒店业巨头万豪11月30日披露了一项大规模数据泄露事件,影响过去四年来在其任何喜达屋酒店预订的多达五亿客户的个人和财务信息。在万豪收购后不久,喜达屋于2015年11月披露过一件涉及50多家酒店且已持续一年的数据泄露的事件。万豪表示,攻击者自2014年已入侵公司网络,在未经授权的情况下访问包含客人信息的数据库,攻击者复制并加密了访客信息,然后采取措施将其删除,客户支付卡数据受加密技术保护,但公司无法排除攻击者利用解密数据所需的加密密钥的可能性。其中对于受影响的5亿客人中的大约3.27亿,攻击者窃取的信息包括他们的姓名,邮寄地址,电话号码,电子邮件地址,护照号码,喜达屋帐户信息,出生日期,性别,到达和离开信息,预订日期和通信偏好。文章中表示相关人员对该事件将会进行进一步的跟踪分析。
https://krebsonsecurity.com/2018 ... n-in-4-year-breach/
|
发表于 2018-12-1 20:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡