找回密码
 注册创意安天

每日安全简讯(20181207)

[复制链接]
发表于 2018-12-6 21:20 | 显示全部楼层 |阅读模式
1 朝鲜APT组织利用Chrome扩展程序感染学术界

ASERT确定了来自朝鲜的APT组织至少2018年5月以来一直瞄准学术机构,此攻击活动被称为STOLEN PENCIL。该组织擅长清理凭据,攻击的大多受害者都拥有生物医学工程方面的专业知识。STOLEN PENCIL首先向目标发送鱼叉式网络钓鱼邮件,将其引导至显示诱饵文档的网站,并立即提示用户安装恶意Google Chrome扩展程序,用于从每个网站读取数据。一旦获得立足点,攻击者将使用远程桌面协议(RDP)进行持久性访问。RDP在UTC时间的6点至9点进行访问,研究人员观察到攻击者将受害者的键盘布局改为韩语。活动中还使用以下工具来自动化入侵:KPortScan、PsExec、Procdump、Mimikatz、Nirsoft Mail PassView、Nirsoft SniffPass、Nirsoft WebBrowserPassView、Nirsoft网络密码恢复、启用RDP和绕过防火墙的批处理文件、永恒的攻击套件。目前还没有数据被盗的证据,但研究人员推测该组织的主要目标是通过进程内存,Web浏览器,网络嗅探和键盘记录程序窃取凭据,获取对受损账户和系统的访问权并持续使用。
cert-768x609.png

https://asert.arbornetworks.com/ ... n-targets-academia/


2 Adobe Flash零日漏洞被利用攻击俄罗斯医疗机构

Gigamon安全团队发现了利用Office文档中的Adobe Flash 0day漏洞,针对俄罗斯国家医疗机构的攻击,恶意文件从乌克兰的IP地址上传到VirusTotal。该漏洞(CVE-2018-15982)允许恶意制作的Flash对象在受害者的计算机上执行代码 ,从而获得对系统的命令行访问权限。攻击者首先利用伪装成俄罗斯国家医疗诊所的就业申请的俄语文件,文件打开后,标题中包含的嵌入式Flash Active X控件将出现并利用Flash播放器,执行恶意命令,试图提取并执行有效载荷Scout恶意软件变体。此次活动与HackingTeam存在关联,HackingTeam是一家销售监控工具和远程访问服务的带有攻击性的意大利安全公司。研究人员已经该漏洞上报给Adobe,Adobe已于周三发布了安全更新修复了该漏洞。
exploit-hidden-objecct.png

https://atr-blog.gigamon.com/201 ... loited-in-the-wild/


3 研究人员发现基于OpenSSH的Linux恶意软件系列

ESET研究人员发现了一组基于OpenSSH且以前未记录的Linux恶意软件系列,SSH(Secure SHell)加密的网络链路的网络协议,通常用于使用文本模式控制台管理Linux服务器。研究人员对该系列的21个后门进行分析,并以星球大战传奇中的行星进行命名,分别为Abafar、Akiva、Alderaan、Ando、Anoat、Atollon、Batuu、Bespin、Bonadan、Borleias、Chandrila、Coruscant、Crait、Endor、Jakku、Kamino、Kessel、Mimban、Onderon、Polis Massa、Quarren。这些OpenSSH后门的多数具有共同特征:字符串堆叠和利用UPX和XOR加密代码混淆;客户端、守护进程的凭证窃取和通过本地文件、C&C服务器、电子邮件进行过滤;包含SSH身份验证期间检查的各种硬编码凭据的持久后门模式。其中4个后门带有值得注意功能:Kessel可实现HTTP、TCP和DNS与C2进行加密通信,进行命令执行;Kamino已存在许久并不断发展,在使用DarkLeech恶意软件攻击到后来Carbanak团体针对攻击俄罗斯银行的活动中被利用;Chandrila使用特定密码传递数据;Bonadan具有挖矿功能。目前还难以识别其原始感染媒介,研究人员猜测可能利用受害者使用受威胁的SSH客户机后窃取的凭据、暴力破解或利用服务器公开的易受攻击服务。
OpenSSH-backdoor-galaxy-1.png

https://www.welivesecurity.com/2 ... ide-of-the-forsshe/
ESET-The_Dark_Side_of_the_ForSSHe.pdf (814.08 KB, 下载次数: 43)


4 Magecart Group 11在最新攻击中窃取管理员凭证

RiskIQ的研究人员发现最近被入侵的在线眼部护理零售商Vision Direct,是由Magecart Group 11组织所为,所有Vision Direct网站都托管在与Group 11相关的特定IP地址上。Magecart2016年开始活跃,其基础设施相对其它犯罪组织较小但够破坏大部分网站。此次攻击打破传统的Magecart模式,窃取除支付数据外的管理员的凭证和基本信息。研究人员发现URL路径过滤,通常用于确保skimmer只在支付页面上操作,包含一些指示其它页面的目标包括登录和管理页面的关键字。skimmer的JavaScript代码中添加了admin,account ,login ,password。该攻击已影响到英国、法国等七个国家的在线零售平台。
Webp.net-resizeimage-48.png

https://www.riskiq.com/blog/labs/magecart-vision-direct/


5 ACSC称伊朗黑客瞄准澳大利亚海军造船厂企图勒索

澳大利亚国防造船公司Austal最近宣布数据管理系统遭遇黑客攻击并具有勒索企图。声明中称黑客设法访问员工的电子邮件地址和电话号码以及船舶设计和图纸。该数据后来被一位绰号为“the.joker”的黑客在暗网上以1比特币出售。一位名叫Xylitol的法国安全研究人员联系了这为黑客并获得了4个样本,Xylitol还声称拥有一个75 GB的数据转储,其中包含一个月前的设计和图纸。Austal对数据泄露事件尚不清楚,但表示泄露的图纸不属于敏感资料,目前并没有影响正常业务的进行。澳大利亚网络安全中心(ACSC)声称袭击和勒索企图是由一个伊朗网络犯罪集团实施,但位于澳大利亚的伊朗大使馆发言人强烈否认了这些指控。
Hackers-2-300x205.jpg

https://darkwebnews.com/hacking/ ... by-iranian-hackers/


6 乌克兰指责俄罗斯对其电信网络进行新大规模袭击

乌克兰的国家电信网络最近遭到黑客袭击。2018年12月4日,乌克兰安全局(SBU)宣布抵御其国家电信网络的大规模网络攻击,并怀疑这次袭击是俄罗斯支持的袭击者的所为。SBU表示,袭击者企图欺骗目标受害者下载受恶意软件感染的假冒会计文件,并已追查到恶意程序的C2与俄罗斯IP地址相关联 。但是,有关攻击何时发生以及目标系统数量的详细信息目前尚不清楚。
iStock-624115794.jpg

https://cyware.com/news/ukraine- ... ns-network-955b51e7



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表