找回密码
 注册创意安天

每日安全简讯(20190131)

[复制链接]
发表于 2019-1-30 20:01 | 显示全部楼层 |阅读模式
1 安全厂商披露旨在窃取个人信息的伊朗组织APT39

FireEye研究人员将APT39确定为伊朗网络间谍组织,该组织2014年11月以来持续活动,主要窃取个人信息以支持伊朗国家优先事项提供服务的监控、跟踪或监视。APT39之前的活动与名为Chafer的组织一致。APT39主要利用SEAWEED和CACHEMONEY后门以及POWBAT后门的特定变体。虽然APT39的目标范围是全球性的,但其活动主要集中在中东地区。其攻击的领域主要是电信行业、旅游业高科技公司、政府、商业服务、交通、媒体和娱乐行业。APT39和APT34有一些相似之处,但火眼认为APT39与APT34不同,因为它使用了不同的POWBAT变体。APT39通过远程桌面协议(RDP)、SSH、PsExec、RemCom和xCmdSvc等工具进行横向移动,APT39还使用RDP协议维持持久性。
APT39Fig1c.jpg

https://www.fireeye.com/blog/thr ... al-information.html


2 安全厂商发布APT28组织最新活动样本分析

意大利一名独立安全研究员发现了APT28组织最新活动恶意样本,Cybaze-Yoroi ZLab研究人员分析了该样本。样本伪装成名为“ ServiceTray”的Microsoft组件。可执行文件使用UPX v3.0压缩程序打包,内容是AutoIt v3编译的二进制脚本。该脚本没有被混淆或添加反分析技术。Zepakab下载程序的新特征是使用AutoIt语言,研究人员将样本与较旧版本Zepakab进行了比较,发现行为和脚本结构非常相似。所有信息都在Base64中编码,并使用SSL加密的HTTP通道发送到C2 。在发送消息之前,恶意软件会添加随机填充字符,以防止自动解密消息。
2.png

https://blog.yoroi.company/resea ... potted-in-the-wild/


3 法国Altran公司受到LockerGoga勒索软件攻击

黑客使用新LockerGoga勒索软件攻击了法国工程咨询公司Altran的系统,为了保护客户数据和公司资产,Altran关闭了其网络和应用程序。攻击发生在1月24日,Altran1月29日发布了声明,声明中避免提到攻击细节,称第三方技术专家和取证专家正在调查此事。Altran没有提到影响他们网络的恶意软件的类型,但研究人员发证实了是一种勒索软件攻击。根据Altran1月25日发布的推文,恶意样本被上传至VirusTotal最终导致了攻击。恶意样本1月24日首次从罗马尼亚上传至VirusTotal,起初被69个引擎中的26个检测到,目前可被43个防病毒引擎检测到。研究人员表示该恶意样本是LockerGoga勒索软件。
3.png

https://www.bleepingcomputer.com ... d-in-altran-attack/


4 研究者追溯FormBook活动发现软件托管网站

安全研究人员最近在追溯FormBook恶意软件活动时新的文件托管服务,该服务内黑客用来托管恶意软件。该网站名为DropMyBin,在一周前创建,并受到Cloudflare保护,隐藏了其真实位置。研究人员还发现该网站上还有其他几个恶意软件,包括AZORult木马以及用于Android设备的Lokibot木马。DropMyBin在一个黑客论坛Hack Forums上进行推广,可以直接下载。一般情况下,文件共享网站在被检测为恶意软件时会将其删除,而DropMyBin网站为托管恶意软件提供了可靠性。
4.jpg

https://techcrunch.com/2019/01/29/hackers-file-sharing-malware/


5 安全厂商披露SCADA WebAccess中三个漏洞

新加坡安全厂商Attila Cybertech发现工业自动化公司研华科技(Advantech)的软件产品SCADA WebAccess中存在3个漏洞。其中前2个漏洞(CVE-2019-6519、CVE-2019-6521)为高危漏洞(CVSS评分高达9.8和8.6),分别可被利用绕过应用程序身份识别和SQL查询中进行第三方代码实现。第3个漏洞(CVE-2019-6523)危险程度稍低(CVSS 5.3分),可被利用实现SQL注入。美国ICS-CERT于1月24日发布了漏洞信息和建议。
漏洞影响8.3版本的WebAccess,Advantech1月10日发布的8.3.5版中已修复 。
5.jpg

https://threatpost.ru/critical-v ... da-webaccess/30751/


6 以色列总理指责伊朗对其国家发起持续网络攻击

总理本雅明·内塔尼亚胡特拉维夫举行的一次网络会议上指责伊朗每天都对以色列发动网络攻击,以色列安全专家一直在阻止这些攻击。以色列总理表示如今任何国家都可能受到网络攻击,每个国家都需要国家网络防御工作和强大的网络安全产业。几天前,在伊朗战斗机向戈兰高地北部发射一枚地对地火箭后,以色列对叙利亚境内的伊朗公民进行了大规模袭击。以色列空军袭击了大马士革的一个机场,杀死了12名支持政权的战斗人员。
6.jpg

https://securityaffairs.co/wordp ... -cyber-attacks.html



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 03:43

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表