1 疑FIN6使用Cobalt Strike攻击全球POS终端
在过去8到10周内,安全厂商观察并跟踪了针对全球POS终端包括VMWare Horizon在内的多个复杂攻击,该攻击在2月6日达到峰值。部分初使向量是通过HTA文件,作为嵌入式VBScript的一部分执行PowerShell脚本。攻击者在初始化PowerShell/WMI阶段之后,使用安装在POS终端上的FrameworkPOS抓取恶意软件,然后下载并反射将带有PowerShell扩展的Cobalt Strike Beacon直接加载到内存中。研究人员观察到两种Beacon:直接反射加载Cobalt Strike DLL和具有PowerShell和Mimikatz功能的shellcode后门。Cobalt Strike可完全控制受感染的系统,并横向移动、获取用户凭据、执行代码等,同时可避开高级EDR扫描技术。研究人员发现许多指标 (WMI/PowerShell、FrameworkPOS、横向移动和权限提升)与FIN6组织关联,但从Metasploit转向Cobalt-Strike时的一些指标也EmpireMonkey组织相关联,目前还未能确定归因。目前已确定位于美国、日本、印度的金融、保险、医疗等部门的受害者。
https://blog.morphisec.com/new-g ... int-of-sale-systems
2 研究人员利用Vault 7数据模拟CIA制作工具
在2017年维基解密曝光的美国中央情报局(CIA)的黑客武器库Vault 7文件集中数据,说明其攻击能力时,有研究人员通过其细节表示CIA可能已经制定了如何重建政府精英级工具的技术蓝图。CIA将该工具描述为是一种自动植入工具,能够在不被发现的情况下长时间监控运行Windows操作系统的电脑,并定期向操作者发送更新信息。近日有研究人员利用该文件提前模拟制作了该黑客工具。研究人员对攻击框架并进行演示,将其命名为“Overwatch”攻击。攻击者可通过钓鱼电子邮件中的附件或对机器的物理访问将Overwatch添加到目标机器,选择执行收集屏幕截图、激活键盘记录程序、秘密打开电脑麦克风、访问个人预定行程等十多项任务。收集目标信息通过加密连接至少以每24小时发送回命令控制主机。
https://www.cyberscoop.com/vault ... ols-rsa-conference/
3 孟加拉国驻开罗大使馆网站遭到攻击者入侵
近日研究人员发现孟加拉国驻开罗大使馆网站自10月遭到黑客入侵并被一直控制。用户访问该网站时,会被强制要求下载恶意Word文档,文档包含EPS文件,打开后将触发远程代码执行漏洞CVE-2017-0261,并提取适用于x86和x64的CVE-2017-7255两个二进制文件,该漏洞可为载荷提供特权升级。最后释放Godzilla加载器,收集有关受感染计算机的信息,通过尝试访问Wikipedia.org检查internet连接,与C2服务器进行通信。攻击者还安装了挖矿恶意软件CoinImp。
https://www.trustwave.com/en-us/ ... -cairo-compromised/
4 AltFS持久无文件系统旨在逃避安全软件检测
为了创建一个不易检测的持久性无文件系统,研究人员开发了一个名为AltFS的python开源库。该库允许研究人员创建一个无文件系统,该系统仅驻留在操作系统资源中,例如Windows注册表、WMI或macOS中的用户默认系统。在操作系统资源中存储数据时,它将创建一个树状结构,其中包含一个表示文件系统的超块,然后为每个存储的文件创建不同的数据块链。链中的每个数据块都包含下一个块的ID,这允许AltFS库重新创建存储的数据。研究人员表示此次重点是展示一个无文件的框架,还未进行安全软件测试,将在之后的计划中进行,并希望其他专业人员共同验证进行改进。
https://www.bleepingcomputer.com ... -security-software/
5 恶意PDF利用Chrome的0day漏洞窃取信息
研究人员自2018年12月底以来,检测到多个利用Chrome 0day漏洞的PDF样本。当受害者在Google Chrome打开恶意PDF文档时,攻击者可窃取到受害者的信息包括IP地址、操作系统、Chrome版本以及PDF文件的完整路径,通过HTTP POST请求发送,但使用Adobe阅读器打开时则无恶意行为。研究人员分析发现一些混淆的JavaScript代码,去混淆后,发现漏洞的根本原因是这个PDF的javascript接口this.submitForm(),只需要简单的调用就可以把隐私信息发送到google.com。目前谷歌安全团队正在解决该漏洞。
https://blog.edgespot.io/2019/02 ... ro-day-samples.html
6 思科无线VPN和防火墙路由器存在严重漏洞
思科发布安全公告,表示其企业无线VPN和防火墙路由器存在严重安全漏洞。该漏洞标记为CVE-2019-1663,CVSS评分高达9.8。漏洞产生是由于在基于web的管理界面中对用户提供的数据进行了错误的验证。允许攻击者通过向目标设备发送恶意HTTP请求,然后以高权限用户的身份在受影响设备的底层操作系统上执行任意代码。漏洞影响RV110W无线-N VPN防火墙,、Cisco RV130W无线-N多功能VPN路由器、RV215W无线-N VPN路由器。思科表示该漏洞已经存在六个月,目前已发布补丁,并警告用户尽快进行版本更新。
https://www.zdnet.com/article/ci ... rity-security-hole/
|
发表于 2019-2-28 20:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡