1 安全厂商披露OceanLotus最新技术手段
ESET研究人员介绍了OceanLotus组织利用内存损坏漏洞CVE-2017-11882投放后门的最新技巧和技术。恶意文档是关于韩国前CNRP示范的FW报告,针对对柬埔寨政治感兴趣的人。尽管它的扩展名为.doc,但该文档实际上是RTF格式。初始shellcode嵌入在打开的文档中,目的是执行第二段shellcode。某些DLL的文件大小超过11MB,攻击者大量随机数据放置在可执行文件内以躲避某些安全产品检测。此外攻击者使用DLL旁路加载,因此只需下载合法AcroTranscoder二进制文件。2018年7月左右,该组织开始使用自解压(SFX)文档,运行时,自解压RAR文件将下载并执行DLL文件(扩展名为.ocx),SFX脚本中的前两行调用了两次OCX文件。研究人员在2019年1月中旬到2月初发现的样本中,感染媒介是一个SFX文档,提供了一个合法的诱饵文件和一个恶意的OCX文件。尽管OceanLotus组织使用假时间戳,但已观察到SFX和OCX文件的时间戳始终相同。
https://www.welivesecurity.com/2 ... -oceanlotus-decoys/
2 Fin7组织在新活动中使用两个新恶意软件
Flashpoint研究人员在Fin7组织新攻击活动中发现了一个新的攻击平台和两个以前未见过的恶意软件,名为SQLRat和DNSBot。这些攻击活动最早可能是在2018年1月开始的,恶意软件嵌入在文档中,通过网络钓鱼电子邮件发送,旨在窃取支付卡信息。Fin7正在使用一个名为Astra的新攻击平台,该平台是用PHP编写的,用于管理表格中的内容。其后端安装在带有Microsoft SQL的Windows服务器上。SQLRat脚本旨在与攻击者控制的Microsoft数据库建立直接SQL连接,并执行各种表格的内容。一旦被攻击者的代码删除,就不会留下任何可恢复的东西。另一个恶意软件名为DNSBot,是一个多协议后门,用于交换命令并在受感染计算机之间传输数据。
https://www.flashpoint-intel.com ... and-sqlrat-malware/
FIN7 Revisited Inside Astra Panel and SQLRat Malware.pdf
(1.3 MB, 下载次数: 61)
3 安全厂商发布LockerGoga勒索软件分析
Cisco Talos研究人员对LockerGoga勒索软件进行了初步分析。早期的LockerGoga勒索软件加密用户文件和数据进行勒索。但后来一些版本的LockerGoga其攻击是破坏性的,不仅使用同样的方法加密文件,还会注销用户账户使得用户无法重新登录系统进而无法查看勒索信。研究人员观察到的几个LockerGoga样本是使用Sectigo颁发给ALISA LTD的证书签署的。在感染过程中,LockerGoga将可执行文件复制到受害系统上的%TEMP%目录执行,并清除Windows事件日志。然后创建勒索信并开始加密过程,文件是单独加密的,使用“* .LOCKED”为文件扩展名。研究人员1月份发现了另一个使用“README-NOW.txt”作为勒索信文件名的案例。
https://blog.talosintelligence.com/2019/03/lockergoga.html
4 安全厂商发现Monero挖矿软件新攻击活动
自1月中旬以来,CheckPoint观察到Monero挖掘恶意软件的新版本在全球范围内传播。新变种使用合法的IT管理工具、Windows系统工具和以前公开的Windows漏洞来感染整个PC网络。攻击者利用漏洞将恶意软件注入目标网站上,恶意软件会探测其他网络访问和漏洞,并与C2服务器通信以接收其他指令或恶意代码。攻击中使用的恶意软件包括两种被标识为“Trojan.Win32.Fsysna”的木马变种和一种Monero挖矿软件变种。恶意软件利用了Mimikatz,可以通过未修补的网络系统传播。
https://blog.checkpoint.com/2019 ... crypto-apt-hacking/
5 MageCart针对两个床上用品网站进行攻击
研究人员观察到针对两个床上用品零售商MyPillow和Amerisleep的Magecart攻击。MyPillow是一家枕头制造公司,2018年10月,Magecart攻击者入侵了MyPillow的电子商务平台,窃取支付信息。10月1日,攻击者在MyPillow的主域名上注册了mypiltow.com,设置了LetsEncrypt以获得SSL证书,然后将窃取脚本注入MyPillow网站。10月26日攻击者注册了一个新域名进行了第二轮攻击。Amerisleep是一家床垫公司,2017年4月受到了第一次攻击。攻击一直持续到2017年10月。
https://www.riskiq.com/blog/labs/magecart-mypillow-amerisleep/
6 SSH客户端PuTTY存在漏洞可致MITM攻击
SSH客户端PuTTY中存在一个漏洞,可能导致MITM攻击。该漏洞被称为vuln-dss-verify,只影响2019年创建的PuTTY开发版本。PuTTY的易受攻击版本具有固定签名,允许攻击者轻松绕过签名检查。如果PuTTY有客户端缓存了链接服务器的ssh-dss密钥,那么攻击者就可以破坏连接。如果PuTTY没有目标服务器的DSA主机密钥,而服务器有DSA主机密钥,攻击者就可以进行中间人攻击确认密钥。
https://cyware.com/news/ssh-clie ... hange-flaw-9b9879f8
|