1 研究人员披露Fancy Bear使用LoJax基础设施的活动
LoJax是Fancy Bear(APT28)使用的利用合法软件与恶意命令和控制(C2)服务器通信的双重代理。研究人员创建了特征库,从而观测LoJax服务器活动。2019年初的一次新扫描显示,七个响应服务器中只有两个保持活动状态。PassiveDNS研究发现了其他可疑的LoJax域名。到目前为止,还没有看到任何已知恶意软件样本中使用的这些可疑域名。除了2004年和2006年年初的峰值之外,活动的主要峰值发生在2016年底。
https://asert.arbornetworks.com/lojax-fancy-since-2016/
2 恶意应用程序伪装成合法工具分发Anubis恶意软件
研究人员在Google Play上发现两个恶意应用程序,Currency Converter和BatterySaverMobi,它们伪装成合法工具,并投放银行恶意软件。目前这两个应用已经从Google Play商店中删除,但在此之前,已经被下载超过5,000次,并且从73位评论者中获得了4.5星的评分。应用程序下载了一个恶意负载,实际上是银行恶意软件Anubis。这些应用程序不仅使用传统规避技术,还利用用户和设备的移动来隐藏自己。只有用户移动时,恶意代码才会执行。如果恶意代码运行,那么该应用程序会诱骗用户下载并安装其有效载荷APK,并进行虚假的系统更新。Anubis恶意软件伪装成一个合法应用程序,提示用户授予其可访问权限,然后窃取帐户信息。
https://blog.trendmicro.com/tren ... ed-evasion-tactics/
3 安全厂商披露针对西非国家银行及金融机构的攻击
赛门铁克研究人员发下针对西非国家的银行及金融机构的攻击活动。自2017年中期以来,攻击一直在进行,迄今为止,喀麦隆、刚果民主共和国、加纳、赤道几内亚和象牙海岸的机构受到影响。第一波攻击针对象牙海岸和赤道几内亚,攻击者使用名为NanoCore(Trojan.Nancrat)的恶意软件,并且还使用PsExec(一种用于在受感染计算机上执行其他系统上的进程的Microsoft Sysinternals工具)进行监察。第二波攻击始于2017年底,目标是象牙海岸、加纳、刚果民主共和国和喀麦隆。攻击者使用恶意PowerShell脚本和凭证窃取工具Mimikat、以及用于Microsoft Windows的开源远程管理工具UltraVNC。然后,攻击者使用Cobalt Strike的恶意软件感染计算机,该恶意软件能够在计算机上打开后门,与C&C服务器通信,并下载其他有效载荷。与C&C服务器的通信由动态DNS基础设施处理,这有助于保护攻击者的位置。第三波攻击针对科特迪瓦,攻击者使用远程操纵系统RAT、Mimikatz和两个自定义远程桌面协议(RDP)工具。第四波攻击始于2018年12月,针对科特迪瓦。攻击者使用现成的恶意软件Imminent Monitor RAT。
https://www.symantec.com/blogs/t ... n-financial-attacks
4 Health Sciences North遭网络攻击中断24家医院网络
加拿大安大略省萨德伯里的Health Sciences North周三早上遭到网络攻击,工作人员于周四早上发现“零日病毒”,该病毒不会被市场上现有的反病毒工具捕获。该地区的所有24家医院都依赖于Health Sciences North信息技术平台或系统,为保护这些医院,已经关闭了某些系统以防止病毒传播。负责人表示病毒没有破坏任何数据,没有导致隐私泄露,也没有赎金请求。
https://www.cbc.ca/news/canada/s ... us-update-1.4982267
5 WiFi芯片固件中存在多个漏洞可被利用远程执行代码
主要用于游戏、个人计算和通信的各种设备中的WiFi芯片固件存在多个漏洞。其中一些漏洞可以被利用来远程执行代码而无需用户交互。漏洞是在实时操作系统(RTOS)ThreadX中发现的,ThreadX拥有超过62亿的安装,是最受欢迎的Wi-Fi芯片软件之一。固件中存在的一个漏洞是块池溢出漏洞,芯片扫描可用网络时可被触发,进程每五分钟扫描一次网络,无论设备是否已连接到WiFi网络。研究人员描述了两种利用方法,一种当符合条件时适用于任何基于ThreadX的固件,另一种针对固件中的Marvell。研究人员表示将这两种方法结合起来可以获得可靠的利用。攻击者可以覆盖指向下一个空闲内存块的指针并控制分配下一个块的位置,从而实现代码执行。研究人员发现的另一个漏洞是基于堆栈的缓冲区溢出漏洞,该漏洞十分容易被利用。
https://www.bleepingcomputer.com ... are-for-wifi-chips/
6 微软宣布Windows Phone移动操作系统将不再更新
微软已经宣布,将在2019年12月10日放弃Windows 10 Mobile,届时这个系统的用户不会再收到任何更新,并建议客户改用受支持的Android或iOS设备。微软的使命宣言是让地球上的每一个人和每一个组织都能取得更多成就,这迫使他们在这些平台和设备上支持自己的移动应用。微软还进一步承认其AI Cortana不再与Alexa和Google的助手展开激烈竞争,而是希望与流行的平台整合而不是竞争。微软Windows移动平台的终结已经很长时间了,Joe Belfiore在2017年10月在推特上表示,Windows Phone进行不下去的主要原因是应用程序可用性低。
https://9to5mac.com/2019/01/18/m ... ch-ios-android/amp/
|