设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190228)
返回列表 发新帖

每日安全简讯(20190228)

[复制链接]
发表于 2019-2-27 21:47 | 显示全部楼层 |阅读模式
1 安全厂商披露第二次针对特金峰会的APT攻击

随着在越南举行的特金峰会的展开,研究人员发现了第二次利用该主题的APT攻击活动“Operation Hidden Python”。攻击初始的鱼叉式网络钓鱼电子邮件带有RAR压缩文件,用户解压缩时将被要求输入文件正文中密码,通过这种利用自定义的ACE加密压缩设置可避免检测。解压后将触发ACE解压缩动态库“unacev2.dll”中得漏洞CVE-2018-20250,然后伪装成Desktop.ini的恶意文件Desktop.ini.exe,在启动程序中注册,并配置在重新启动时自动运行。该恶意文件由python编写,使用Base64进行迭代编码,主命令代码由PowerShell组成,并试图与俄罗斯IP地址秘密通信,等待攻击者的执行命令。解压缩后的.hwp文档在2月26日凌晨3:28左右添加。
 微信图片_20190227211332.jpg

https://blog.alyac.co.kr/2160

2 新Golang恶意软件攻击多个电子商务网站

研究人员发现疑似Magecart网络犯罪组织使用新Golang恶意软件攻击Magento、phpMyAdmin和cPanel等电子商务网站。由Golang编写的恶意软件通过Delphi编写的下载器释放,然后通过暴力破解或漏洞利用(CMS或插件)将恶意代码插入网站主页。当受害者输入地址和付款细节时,他们的数据通过一个POST请求被窃取,该请求将Base64格式的信息发送给攻击所在域,该域标记为Magecart组织的一部分。Delphi下载器使用UPX和使用进程注入的暗网打包器进行打包,收集系统基本信息后向C2发送信号,下载恶意软件,安装部署在Startup文件夹下,其使用Golang 1.9编写,致力于暴力破解。
 VirusTotal_Graph.png

https://blog.malwarebytes.com/th ... e-commerce-attacks/

3 CPU预测执行功能可被用于对抗安全分析机制

安全学者在利用CPU优化功能“预测执行”的过程中,发现了隐藏恶意软件的攻击,将其命名为ExSpectre,该漏洞与去年发现的Meltdown和Spectre漏洞相同。预测执行技术是现代处理器的一种性能提升特性,CPU提前运行计算,然后选择应用程序需要的执行线程,丢弃其它预测执行线程及其数据。ExSpectre攻击首先在受害者在系统安装良性应用程序二进制文件,通过配置二进制文件来启动精心设计预测执行线程,从而执行恶意操作。研究人员使用OpenSSL库作为VA中的良性触发程序进行了验证,当攻击者使用带有特定密码套件的TLS反复连接到受感染的OpenSSL服务器时,将激活恶意有效载荷。
 exspectre.png

https://www.zdnet.com/article/re ... culative-execution/
ndss2019_02B-5_Wampler_paper.pdf (698.8 KB, 下载次数: 45)

4 Thunderclap允许黑客使用外围设备攻击

研究人员披露了一种攻击细节,攻击者通过将特制设备连接到Thunderbolt端口,从而控制计算机并访问敏感数据。Thunderbolt是由Apple和Intel创建的硬件接口,用于将外围设备连接到计算机。研究人员将该攻击称为“Thunderclap”,自2011年以来,影响了Apple生产的绝大多数笔记本电脑和台式电脑。Thunderbolt 3通常通过USB Type-C端口支持,所以用于运行Windows和Linux的计算机也很容易受到攻击。虽然发起攻击需要对目标系统进行物理访问,但专家们指出,攻击者可以使用看似无害的设备,例如视频投影仪的充电器,除了发动攻击外,还可以执行预期的任务以避免引起怀疑。
 Thunderbolt.png

https://www.securityweek.com/thu ... -peripheral-devices
thunderclap-paper-ndss2019.pdf (1.06 MB, 下载次数: 48)

5 PDF签名漏洞允许攻击者进行未经授权更改

研究人员发现多个PDF查看器和在线验证服务包含漏洞,这些漏洞可被利用来对签名的PDF文档进行未经授权的更改,而不会使其数字签名无效。专家进行了三种PDF签名攻击试验:通用签名伪造(USF),增量保存攻击(ISA)和签名包装攻击(SWA),证明几乎所有PDF查看器和在线验证服务都容易受到攻击。该漏洞影响Adobe Reader、Foxit Reader、LibreOffice、Nitro Reader、PDF-XChange和Soda PDF等流行软件,验证服务包括DocuSign、eTR验证服务、DSS演示WebApp、Evotrust和VEP.si。专家们向德国CERT-Bund报告了该结果,目前所有提供PDF查看应用程序的公司都已发布安全补丁来解决这个问题,而一些在线服务尚未解决这些问题。
 digital-signature-verification.jpg

https://securityaffairs.co/wordp ... cation-attacks.html

6 NVIDIA修补GPU显示驱动程序中安全漏洞

NVIDIA发布NVIDIA GPU显示驱动程序软件的安全更新,修补了可能导致代码执行、权限升级、拒绝服务、Windows和Linux系统计算机的信息泄露的八个安全问题。虽然所有这些漏洞都需要本地用户访问并且无法被远程利用,但攻击者可通过在运行易受攻击的NVIDIA GPU显示驱动程序的系统上通过各种方式远程植入恶意工具进行利用。  
 NVIDIA.png

https://www.bleepingcomputer.com ... -for-windows-linux/





回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 02:33

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表