找回密码
 注册创意安天

每日安全简讯(20190201)

[复制链接]
发表于 2019-1-31 18:01 | 显示全部楼层 |阅读模式
1 安天发布移动安全反病毒技术发展报告

相比传统PC端恶意代码,移动恶意代码的发展更具有针对性、技术叠加性和快速演变演绎的特点。安天回顾八年来移动恶意代码的技术发展,发布移动安全自2010年至今移动反病毒技术的重要发展阶段与成果。报告从本地细粒度检测引擎、工程化体系建设与检测技术演进、泛化威胁对抗引擎升级三个阶段介绍了安天移动恶意代码对抗的八年之路。并且对移动反病毒能力测评和机构进行了深度解析。安天认为,移动安全对抗是一场永无止境的攻防对决,安全工程化投入对于移动反病毒而言是一项必不可少的工作。移动安全对抗需要体系化协同应对,只有构建体系化的移动安全防御能力才能够有效阻挡尚在战场明处的黑灰产团伙的蓄意攻击。在移动化、大数据、云计算、企业社交和物联网等在内的技术创新浪潮下,具备“规模化,分布化,智能化,无线化,业务终端化”五大特征的“泛移动”时代正在来临。并且在5G、AI技术与IoT的加持下,未来手机与IoT之间将形成全新的连接和交互方式,加速了社会与企业的移动化进程和效率的进一步提升。
头像-300x236.png

https://mp.weixin.qq.com/s/cLVTxQupIblgIWoQpsTvtA




2 疑似拉撒路组织活动伪装成韩国思科招聘

Cisco Talos研究人员观察到有针对性的恶意软件活动,EST Security也发布了此次攻击的分析,并认为攻击组织是拉撒路。恶意软件通过包含恶意混淆宏的Microsoft Word文档投递,伪装成韩国思科提供就业机会,文档的内容是从在线公开的职位描述中复制的。根据文件元数据,文档可能是在2018年创建的,但最后一次保存在2019年1月29日。攻击者隐藏了四个特定的API调用。API未在导入表中列出,但它们是使用GetProcAddess()动态加载的。函数名称被混淆,使静态分析更加困难。研究人员在之前活动中的样本中确定了两个与此次攻击有关。一个相关样本于2017年8月使用,另一个文件是2017年11月被发现的,两个文档与此次攻击文档包含相同的宏,宏也使用与原始样本相同的XOR键编码。
1.jpg

https://blog.talosintelligence.c ... an-job-posting.html


3 Chafer组织使用Remexi监视伊朗外交实体

卡巴斯基研究人员分析了APT组织Chafer长期的网络间谍活动,该组织使用Remexi恶意软件新变体攻击伊朗外交实体。恶意软件编译时间戳是2018年3月,其开发者在MinGW环境中使用Windows上的GCC编译器,可以记录键盘、截屏(其配置中定义)、窃取登录凭据和浏览器历史记录以及执行远程命令。研究人员发现Remexi的主模块的执行与编译为PE的AutoIt脚本的执行之间存在关联。投放器使用包含硬编码证书的FTP接收其有效载荷,此FTP服务器在分析时已无法访问。
2.png

https://securelist.com/chafer-used-remexi-malware/89538/


4 Love Letter垃圾邮件在日本大规模分发

在1月10日被检测和分析的“Love Letter”垃圾邮件活动现在已经将重点转向日本目标,其数量规模也扩大了一倍。研究人员表示垃圾邮件分发活动从1月29日开始,附件是压缩的JavaScript(.js)文件。此次活动中,攻击者为受害者定制了相关主题,使用受欢迎的日本艺人名字,将压缩的恶意JavaScript文件伪装成.zip图像。打开JavaScript文件会下载第一个恶意软件有效载荷,一旦感染了计算机,会下载第二个恶意软件有效载荷,通常是GandCrab 5.1勒索软件和Phorpiex蠕虫。
3.jpg

https://www.bleepingcomputer.com ... vily-targets-japan/


5 研究者发现钓鱼活动针对丹麦网上购物者

研究人员发现针对丹麦的网上购物者的钓鱼活动,该活动被称为“Nets.eu”。黑客已经建立了超过1500个虚假域名,这些域名看起来像支付处理器“Nets”,使用.dk或.de扩展名,使用户难以察觉。电子邮件包括一个CVR号码(丹麦中央商业登记处注册的企业唯一识别号码),警告用户发现了可疑付款,要求用户单击链接申请退款。一旦用户点击链接,就会被重定向到恶意连接要求用户提供登录凭据。Chrome和Firefox上,系统会提醒用户这些网址是恶意链接,但Internet Explorer不会提醒。目前该钓鱼网站已被关闭。
4.jpg

https://cyware.com/news/new-nets ... e-shoppers-8ec5652b


6 西门子可编程逻辑控制器CPU中存在漏洞

西门子Simatic S7-1500可编程逻辑控制器(PLC)的CPU中存在两个漏洞,CVE-2018-16558和CVE-2018-16559,CVSSv3.0得分均为7.5。该漏洞影响多种设备,包括汽车生产、食品和饮料制造以及化学工业。未经身份验证的攻击者可能会对PLC进行拒绝服务攻击从而严重影响工业流程。攻击者可以通过向TCP端口80发送特制的网络数据包来实现。 要恢复PLC功能,用户必须手动将设备切换到正常操作模式。建议用户将固件更新到2.5或更高版本。
5.jpg

https://www.ptsecurity.com/ww-en/about/news/297720/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 03:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表