设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190112)
返回列表 发新帖

每日安全简讯(20190112)

[复制链接]
发表于 2019-1-11 19:58 | 显示全部楼层 |阅读模式
1 安全厂商披露TA505分发ServHelper新后门
proofpoint研究人员发现TA505组织分发名为ServHelper的新后门。ServHelper有两种不同的变体:“tunnel”变体和“downloader”变体。2018年11月9日,研究人员观察到针对金融机构的电子邮件活动,邮件是包含恶意宏的Word文档或Publisher附件,下载并执行的是ServHelper的“tunnel”变体。2018年11月15日,研究人员发现了规模更大一些的邮件活动,除金融机构外,此活动还针对零售业。邮件附件是.doc、 .pub或.wiz格式的文件。最后下载并执行ServHelper的“downloader”变体。2018年12月13日,研究人员又发现针对零售和金融服务客户的大型攻击活动,分发“downloader”变体。混淆的Word附件包含嵌入式恶意宏,PDF附件的URL将受害者定向到虚假“Adobe PDF插件”页面。邮件正文中的URL直接定向到ServHelper可执行文件。ServHelper后门下载并执行名为FlawedGrace的远程访问木马。
 1.png

https://www.proofpoint.com/us/th ... re-introduced-ta505

2 安全厂商发布针对美国出版社的Ryuk攻击分析

近期针对美国报纸的Ryuk勒索软件攻击,McAfee研究人员提出了不同视角的分析。不同于将攻击归因于朝鲜,该分析认为该攻击并不一定由国家支持而更像一场网络犯罪活动。研究人员调查了2017年针对台湾银行的攻击事件,发现Hermes勒索软件爆发的时间与资金被盗的时间重合。当计算机系统语言为俄语、乌克兰语和白俄罗斯语的时候,恶意软件将不会执行。在攻击的前两个月,一名讲俄语的黑客在地下论坛提供了Hermes 2.1勒索软件,这表明攻击者很有可能从地下论坛购买勒索软件进行攻击。根据维基百科的说法,Ryuk指的是“死亡笔记”系列中的日本漫画人物。勒索软件通常由开发人员命名,由国家赞助的恶意软件通常由安全行业命名。将Ryuk和Hermes进行对比,而这功能基本相同,研究人员确定Ryuk的开发人员可以获得Hermes源代码。过去几个月Ryuk和Hermes有关编译时间和PDB路径也几乎相同。因此Ryuk很可能是Hermes 2.1的改编版本。
 2.png

https://securingtomorrow.mcafee. ... n-misses-the-point/

3 恶意软件使用第三方工具窃取设备IP地址

研究人员发现了一种名为“IcePick-3PC”的新恶意软件,该软件能够通过黑客入侵网站的第三方工具来窃取设备IP地址,这些工具通常预先加载到客户端平台上。恶意软件影响了多家出版商和电子商务企业,包括零售和医疗保健等行业。恶意软件会在运行之前对用户的设备运行一系列检查,用户代理、设备类型、设备是否为Android设备、电池电量等。检查完成后,恶意软件会在受感染设备与远程设备之间建立RTC对等连接,然后将收集的设备IP发送给攻击者。
 3.jpg

https://cyware.com/news/new-malw ... -addresses-380ce5ef

4 安全厂商发布PyLocky勒索软件解密工具

PyLocky是一个用Python编写的勒索软件,意图伪装成Locky变体。思科Talos发布免费的PyLocky勒索软件解密工具,该解密工具需要捕获受感染计算机的PyLocky初始命令和控制(C2)流量,所以它只能用于恢复网络流量受到监控的受感染计算机文件。当PyLocky执行时,它会生成一个随机用户ID和密码,然后将收集的感染计算机相关信息放在WMI打包器中。恶意软件还生成随机初始化向量或IV,然后对其进行base64编码并将其与收集的系统信息一起发送到C2服务器。获取系统上每个文件的绝对路径后,恶意软件会调用加密算法,将IV和密码加密。加密的文件都用.lockedfile作为扩展名。
 4.png

https://blog.talosintelligence.c ... talos-releases.html

5 研究人员揭示PAN OS漏洞另一种利用方法

PAN-OS是PaloAltoNetworks下一代防火墙的软件,其Web界面实现中存在CVE-2017-15944漏洞,未授权的攻击者可以利用该漏洞作为超级用户远程执行代码。研究人员发现在PAN OS 6.1.0上利用该漏洞的另一种方法。在PAN OS 6.1.0上有另一个名为core_compress的脚本,它是一个python脚本。该脚本以root身份每15分钟执行一次。利用该脚本搜索一些目录,使用“tar”压缩这些目录上的* .core文件,然后创建一个简单的PHP载荷,并将其写入文件。将指定字符串作为目标名,最后使用特定名称创建一个文件。研究人员成功利用该漏洞的几率是90%。
 5.png

https://tinyhack.com/2019/01/10/ ... 44-on-pan-os-6-1-0/

6 OXO国际受到MageCart攻击发生数据泄露

美国厨房用具制造商OXO披露了两年内发生的多次数据泄露事件,根据向加利福尼亚提交的数据泄露通知,在2017年6月9日 - 2017年11月28日之间、2018年6月8日 - 2018年6月9日之间、和2018年7月20日 - 2018年10月16日之间服务器遭到入侵,窃取客户的个人及支付信息。研究表明至少有一次攻击是MageCart攻击,结帐页面的源代码显示页面中插入了JavaScript脚本,这是一个MageCart脚本,该脚本不再可用,但可在VirusTotal上找到。
 6.jpg

https://www.bleepingcomputer.com ... eted-customer-data/
       
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 03:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表