1 BITTER使用ArtraDownloader变种攻击巴基斯坦
研究人员发现自2018年9月中旬至2019年1月,疑似南亚APT组织BITTER使用三种ArtraDownloader变种,针对巴基斯坦和沙特阿拉伯发起一轮攻击。BITTER至少从2015年起,一直使用ArtraDownloader系列和BitterRAT攻击巴基斯坦和中国,此次是首次发现对沙特阿拉伯的攻击。攻击初始的恶意文档托管到被入侵的巴基斯坦政府、工程公司和针对阿拉伯电气供应商的网站,文档伪装成与网站相关的主题,其中给一个word文件是利用EQNEDT漏洞CVE-2017-11882的RTF文档,文档被执行后,下载ArtraDownloader可执行文件,然后使用HTTP请求下载和执行BitterRAT。ArtraDownloader恶意软件系列并不复杂,利用简单的注册表项实现持久性,在字符串中的每个字节中添加或删减来对重要字符串进行模糊处理。
https://unit42.paloaltonetworks. ... to-target-pakistan/
2 研究人员发现针对美国联邦政府承包商钓鱼活动
研究人员发现了一个恶意服务器,承载着针对美国联邦政府机构政府承包商的两个独立的网络钓鱼活动。该服务器包含美国运输部(DOT)的合法域名,当用户访问该域时,将会被重定向到显示DOT电子采购门户的网络钓鱼站点,钓鱼网站至少包含三个与合法DOT主页不同的组件,包含窃取登陆凭据的功能和其它显示的虚假消息。网站还安装了由Let's Encrypt(免费证书提供商)发布的自签名TLS证书。另一个网络钓鱼页面克隆美国劳工部(DOL),包含窃取登陆凭据的功能。该恶意域名是由来自宾夕法尼亚州名为David Paris的人注册,研究人员通过注册人姓名和电子邮件地址进行反向Whois查找,共发现133个相关域名,其中至少有7个恶意网站针对美国联邦政府和4个州政府的多个政府机构。
https://www.anomali.com/blog/onl ... ernment-contractors
3 攻击者利用最新Drupal RCE漏洞传播CoinIMP
开源Web内容管理系统Drupal中最新发现的远程代码执行(RCE)漏洞,在发布补丁的三天后被黑客利用发起攻击。该漏洞ID为CVE 2019-6340,是由于在启用Drupal 8核心REST模块和另一个web服务模块时,字段类型不会清除来自非表单源的数据,从而导致攻击者远程执行任意PHP代码。黑客对不同国家的政府、金融服务行业网站进行了数十次攻击,投送将基于JavaScript的加密货币(Monero和Webchain)挖矿程序CoinIMP,CoinIMP被注入受攻击站点的index.php文件中,以便受害者浏览站点网页时挖矿。攻击者还试图安装shell上传程序来上传任意文件。
https://www.imperva.com/blog/lat ... nd-other-attackers/
4 MarioNet攻击允许黑客在浏览器中创建僵尸网络
安全学者发现了一种基于浏览器的新攻击,即使用户已经关闭或导航离开被感染的网页,黑客仍然可以在用户的浏览器中运行恶意代码。该攻击被称为MarioNet,允许攻击者创建僵尸网络,然后用于在浏览器内进行挖矿、DDoS攻击、恶意文件托管和共享、分布式密码破解、创建代理网络、广告点击诈骗和流量统计数据提升等攻击活动。攻击者可在用户登录到被控制的网站时注册web api接口,然后在用户导航离开后使用web api接口SyncManager接口保持活动状态。该攻击可静默实现,不需要任何类型的用户交互,因为浏览器在注册web api接口之前不会提醒用户或请求权限,还可以继续感染控制服务器的用户。此外攻击者还可以从受感染主机获取用户权限,访问并使用Web Push API在浏览器重新启动时持续存在。
https://www.zdnet.com/article/ne ... s-leave-a-web-page/
ndss2019_01B-2_Papadopoulos_paper.pdf
(814.63 KB, 下载次数: 39)
5 安全公司发现裸机云服务器可以被植入固件后门
固态安全公司表示恶意攻击者可以在裸机云服务器上植入固件后门,造成应用程序中断(永久拒绝服务攻击PDoS)、窃取数据或发起勒索软件攻击。裸机云服务为组织提供运行其应用程序所需的硬件,而无需提供虚拟机管理程序。目前固件漏洞普遍存在。攻击者可通过对硬件本身的直接访问和利用UEFI、服务器基板管理控制器(BMC)固件漏洞来植入恶意软件。而因裸机服务提供用户对整个物理服务器的独占访问,一旦用户不再需要服务器,硬件就会重新分配给另一个用户。这样将导致攻击者对不同用户的持续攻击。研究人员将该漏洞称为“Cloudborne”。研究人员对IBM的SoftLayer云服务对该漏洞进行了测试,证明攻击者可以将恶意代码加载到BMC上,以获得对系统的持久访问和控制,甚至可以远程控制服务器。研究人员已将该问题通知给IBM,IBM正在解决该问题。
https://eclypsium.com/2019/01/26 ... tal-cloud-services/
6 安全团队发现使用多语言图像进行恶意广告活动
安全团队发现通过多语言图像攻击分发恶意广告载荷的活动。多语言图像(Polyglot images)虽然已经不是一种新的攻击,但其独特之处在于,文件可以同时是图像和JavaScript,并且不需要外部脚本来提取载荷。攻击者使用.bmp图像进行伪装,并通过操纵图像的大小和十六进制字符来欺骗系统接受图像,当它作为javascript加载到bowser中时,它会将BM变量加载到内存中。使用其后续部分包含高度混淆的javascript解码器脚本进行解码,隐藏在BM变量中的数据。 它在浏览器中引入一个云端URL,将受害者继续一系列重定向,最终到达恶意广告页面。
https://www.devcondetect.com/blo ... malvertsing-attacks
感谢华科大周老师指出简讯错误,我们已及时更正。
|
发表于 2019-2-26 21:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡