设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181214)
返回列表 发新帖

每日安全简讯(20181214)

[复制链接]
发表于 2018-12-13 20:44 | 显示全部楼层 |阅读模式
1 安全厂商发布APT28针对全球的网络攻击报告

APT28(Sofacy、Fancy Bear、STRONTIUM、Pawn Storm、Sednit),从2018年10月中旬到2018年11月中旬持续攻击了多国的政府和私人组织。Paloalto捕获到了共九份发送文件,通过鱼叉式网络钓鱼,分发注册的合法电子邮件,交付文件作者姓名均为Joohn,使用具有高度针对性的最近发生的相关事件作为文件名,文档功能完全相似,使用Microsoft Word中的远程模板功能从第一阶段C2检索恶意宏,并最终加载和执行初始有效载荷,包括Delphi、C#和VB.NET编写的Zebrocy,C#和Delphi编写的Cannon。
 infographic-768x764.png

https://researchcenter.paloalton ... ps-global-campaign/

2 黑客利用克隆网站攻击俄罗斯的关键基础设施

Cylance研究人员在2017年7月和2018年均发现使用包含恶意嵌入式宏的word文档,针对俄语用户传播恶意软件活动。进一步研究发现,与恶意软件进行通信的C2,模仿二十多个俄罗斯国有石油,天然气,化工,农业和其它关键基础设施组织的网站,特别是是公司Rosneft及其子公司,此系列活动已存在3年。恶意软件系列为RedControle变种,使用“_”字符分解的随机字符串以反分析和逆向工程,使用一系列线程进行操作,将不同的后门功能划分为,基于不同预定义的Delphi定时器运行的自主线程。后门功能中包含使用的葡萄牙语和斯拉夫语。攻击者还使用Sticky Keys后门,严重依赖立陶宛提供商的虚拟专用服务器(VPS),可能为降低成本开销,利用Cloudflare获取免费的批量SSL证书,这也导致他们使用的许多域被暴露。Cylance表示从研究结果可以看出幕后的攻击者为网络犯罪组织而不是国家支持的APT组织。
 121018-poking-bear-russia-cylance-lrg.png

https://threatvector.cylance.com ... infrastructure.html

3 研究人员发现Shamoon新变种上传至VT平台

Alphabet的网络安全部门Chronicle发现一个包含Shamoon恶意软件新变种的文件已被上传至VirusTotal平台。Shamoon是罕见但具有破坏性的恶意软件,最初是在2012年用于擦除沙特阿美公司服务器所发现。样本触发时间为为2017年12月7日23:51,Chronicle应用情报负责人Brandon Levene表示,可能是将时间改为过去,以便立即展开攻击,或者是以前编制,作为以后攻击中的一部分。新版本的不同之处在于,不包含预先编程的凭证;C2服务器列表为空,可能用手动安装Shamoon,缺乏C2的访问可能擦除功能将失效;将具有政治意义的图片变为文件,并不可逆的加密文件。该变种从意大利上传至VT,与意大利能源公司的中东服务器被攻击时间接近,可能存在关联。
 1544562470184.jpg

https://www.axios.com/infamous-s ... 9-1dc8a6f93848.html

4 旧的物联网设备漏洞被利用分发恶意软件Mirai

ASERT研究团队在11月份检测到利用Hadoop YARN旧漏洞,传播Mirai恶意软件的物联网(IoT)僵尸网络活动。旧漏洞包括CVE-2014-8361、CVE-2015-2051、CVE-2017-17215和CVE-2018-10561。其中攻击者使用CVE-2014-8361分发Mirai的MIPS变体,漏洞滥用wget软件下载僵尸程序的副本并在易受攻击的设备上执行。该漏洞还被用于Satori、JenX等多个高端物联网僵尸网络中。研究人员表示从物联网设备上线到第一次暴力攻击尝试开始,只需要不到五分钟,并且攻击者将会越来越多地将利用物联网相关漏洞作为他们的武器。
 honeypot-1024x683-768x344.jpg

https://asert.arbornetworks.com/ ... regifting-exploits/

5 攻击者通过Elasticsearch旧漏洞开展挖矿活动

趋势科技研究人员检测到利用搜索引擎Elasticsearch旧漏洞的挖矿活动。Elasticsearch是一个基于Lucene库的Java开发的开源的搜索引擎,涉及的漏洞有Groovy脚本引擎中的CVE-2015-1427,允许远程攻击者编写的脚本执行任意shell命令,默认配置中的CVE-2014-3120。矿工首先调用shell并运行下载命令来分发bash脚本,一旦攻击者获得在系统上运行任意命令的能力,可以尝试升级权限甚至转向其它系统,以进一步进行攻击活动。所释放的挖矿工具Devtools、用于下载所有部分的bash脚本和配置文件。用户有必要定期修补系统并使用自定义规则进行安全监控。
 shutterstock_566499325.jpg

https://blog.trendmicro.com/tren ... s-on-elasticsearch/

6 云服务器配置错误使巴西1.2亿纳税人信息泄露

InfoArmor研究小组发现了一个因配置错误导致可公开访问的Apache Web服务器,暴露了托管在服务器上的1.2亿巴西国民纳税人注册号Cadastro dePessoasFísicas(CPF),CPF是巴西联邦储备银行向巴西公民和纳税居民发放的身份证号码。暴露纳税注册号与敏感信息相关联,如姓名,出生日期,电子邮件,电话号码,地址,就业详情,银行账户详情,贷款和还款记录,借记和贷记历史,投票历史,投票注册号码等。研究人员在2018年3月发现数据库中的默认文件“index.html”被重命名为“index.html_bkp”,导致显示目录内容。研究人员试图联系所有者,但所发的邮件被返回 。研究人员表示这些数据可能会用于攻击巴西或者任何拥有CFP人群的国家。
 shutterstock_160355549.jpg

https://blog.infoarmor.com/emplo ... -identities-exposed
InfoArmor_Brazilian Exposure Report.pdf (1.45 MB, 下载次数: 52)

               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:35

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表