找回密码
 注册创意安天

每日安全简讯(20181222)

[复制链接]
发表于 2018-12-21 22:29 | 显示全部楼层 |阅读模式
1 安全团队发布APT组织蔓灵花最新攻击报告

蔓灵花(T-APT-17、BITTER)是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,近期对我国的军工业、核能、政府等重点单位发起了攻击。攻击首先对相关目标单位的个人直接发送嵌入诱饵文件的钓鱼邮件,定制化的文件为伪装为word图标的自解压文件,运行后将执行恶意文件,并打开迷惑用户的word文档。Dropper文件为winrar自解压文件,使用英文版winrar打包压缩,运行后释放木马,解密配置信息,然后将获得受感染机器信息变成字符串,发送到C2。功能模块包含设置开机启动项、键盘记录、远程控制木马(RAT)。研究人员通过关联分析发现曾针对巴基斯坦等地的MY24后门,疑似归属于该组织,跟“白象”(摩诃草、HangOver、Patchwork)也存在关联性。
微信图片_20181221221111.jpg

https://mp.weixin.qq.com/s?__biz ... 18a0b8c7a3ac6e910af


2 虚假海啸警报活动对日本用户分发恶意软件

2018年11月,FortiGuard Labs发现了两次针对日本公民虚假海啸预警的垃圾邮件活动。邮件中包含了一个虚假日本气象厅(JMA)网站链接,当点击后,将下载木马Smoke加载程序。Smoke加载程序使用多种反分析技术,包括PEB标志和跳转链的反调试检查;检查sbiedll的使用,来检测是否在沙箱中运行;检测虚拟机使用情况;创建了两个用于监视进程和窗口的线程;检测受害者键盘语言,确保不感染俄罗斯和乌克兰用户。Smoke使用三种方法安装第二阶段有效载荷:无文件、下载DLL并加载、将下载的DLL或EXE文件注册为regsvr32服务,但目前无法观察到第二阶段攻击。研究人员监控虚假网站后,发现下载Smoke的链接在11月25日被高性能木马AZORult取代,从受感染系统中提取数据。这两种恶意软件版本仅在俄罗斯地下论坛上出售。目前,假冒JMA网站仍然充当AZORult C2服务器。
image_23972850.img.png

https://www.fortinet.com/blog/th ... lware-to-japan.html


3 ThinkPHP框架中漏洞被利用传播Mirai变种

趋势科技研究人员发现了恶意软件Mirai变种Miori、IZ1H9和APEP,通过ThinkPHP框架中的远程代码执行(RCE)漏洞进行传播。恶意变种通过Telnet使用出厂默认凭证来强制进入并传播到其它设备,一旦感染Linux机器,它将成为僵尸网络的一部分,促使分布式拒绝服务(DDoS)攻击。Miori启用Telnet暴力破解其它IP地址,从端口42352 (TCP/UDP) 侦听C2服务器命令,然后发送命令以验证目标系统的感染情况。研究人员通过解密嵌入的二进制配置表,发现恶意软件使用简单易猜测的用户名和密码,并且均使用字符串反混淆技术。APEP还利用CVE-2017-17215进行传播,目前已发布了针对该漏洞的缓解措施。
IoT-feature-image-300x300.jpg

https://blog.trendmicro.com/tren ... -execution-exploit/


4 僵尸网络Danabot变种攻击意大利金融用户

Yoroi ZLab发现最近僵尸网络Danabot新变种攻击了意大利多金融机构用户。攻击活动分发邮件为主题的网络钓鱼邮件,通过启用恶意宏文档,下载恶意DLL有效载荷,释放最终的恶意软件。恶意软件尝试通过加密的SSL通道连接到远程主机,下载其它组件并从文件系统中 删除自身。恶意软件植入至少加载库两次,导出f1至f8的8个关键功能,搜索存储在已安装web浏览器数据文件夹中的敏感信息,保存到临时sqlite数据库中。注入网页的恶意javascript会将被盗信息发送给C2,包括受害者的会话cookie,以便渗透已经过身份验证的会话。恶意软件使用自定义JQuery脚本来标识受感染机器的id.研究人员表示此次攻击可能是由负责过去Gootkit攻击的同一个组织发起,Yoroi 称为TH-106。
Screenshot_2018-12-20_123812.png

https://blog.yoroi.company/resea ... od-targeting-italy/


5 Windows零日漏洞允许攻击者任意读取文件

名为SandboxEscaper安全研究人员发现了第三个Microsoft Windows中存在的任意文件读取0day漏洞,并提供了利用代码。该漏洞影响ReadFile.exe,允许攻击者从特定位置读取数据。故障位于“ MsiAdvertiseProduct ”功能中,Microsoft将其描述 为能够生成广告脚本或将产品通告给计算机,使安装程序将注册表和用于分配或发布产品的快捷信息写入脚本。而调用此函数会导致安装程序服务进行任意文件复制,攻击者可以控制该文件,并且可以通过检查使用时间(TOCTOU)竞争条件类型来绕过保护,最终可以复制具有系统权限的任何文件,并始终可读。
SandboxEscaper0day_arbitraryfileread_headpic0.png

https://www.bleepingcomputer.com ... ystem-level-access/


6 亚马逊Alexa声控助手失误泄露用户个人隐私

德国一家科技杂志称,亚马逊(Amazon)Alexa声控助手泄露了用户的个人隐私。一个用户在使用Alexa时,要求把公司存储的数据发给他,然后该用户收到了大约1700个音频文件和一份PDF文档,里面收录了包含用户隐私细节的录音的未分类文本,根据音频可以识别出具体用户。亚马逊表示该事件由人为失误导致,目前已经解决了受影响的用户的问题,并将进一步Alexa改善流程。
u=594617619,1857419082&fm=173&app=49&f=JPEG.jpg

https://www.koat.com/article/ale ... eport-says/25648080


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:43

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表