找回密码
 注册创意安天

每日安全简讯(20190411)

[复制链接]
发表于 2019-4-10 21:26 | 显示全部楼层 |阅读模式
1 研究人员发现复杂的新APT框架TajMahal

研究人员在2018年秋季发现的一个以前未知且技术复杂的APT框架TajMahal。这个完整的间谍框架由两个名为“Tokyo”(东京,其用作第一阶段感染)和“Yokohama”(横滨)的包组成,其包括后门、加载器、协调器、C2通信器、录音器、键盘记录器、屏幕和网络摄像头抓取器、文档和加密密钥窃取程序、受害者计算机的文件索引器。加密的虚拟文件系统中存储了多达80个恶意模块,这是见过的APT工具集中插件数量最多的插件之一。TajMahal至少在过去五年中进行开发和使用,目前发现了一名来自中亚国家外交领域的受害者,样本确认日期是2014年8月,而已知的样本的第一个时间戳是2013年8月,最后一个是2018年4月。
The-TajMahal-attackprocess_final.jpg

https://securelist.com/project-tajmahal/90240/


2 Gaza Cybergang组织攻击中东和北非地区

研究人员在2018年监测到的阿拉伯APT组织Gaza Cybergang针对中东和北非地区的攻击活动,并将其分为3个内部小组Gaza Cybergang Group1(低成本低复杂水平),也称为MoleRATs;Gaza Cybergang Group2(中等复杂水平),与组织Desert Falcons存在关联,Gaza Cybergang Group3(最高复杂水平),之前活动名称为Operation Parliament。研究人员此次对Gaza Cybergang Group1进行了分析,并将其运动称为SneakyPastes。新攻击活动主要针对与巴勒斯坦相关的大使馆和政治人员,采用网络杀伤链的入侵模式。初始交互使用临时域名和电子邮件的网络钓鱼邮件,其携带的RAR文件将下载第一阶段恶意软件,即利用PowerShell、VBS、JS和dotnet的植入程序,然后与C2通信下载RAT(Razy/NeD worm/Wonder Botnet),所有阶段的可执行文件都作为链创建,以避免检测和保护C2服务器,且针对不同阶段的攻击C2托管在各种免费网站上。分析显示目前有超过240名受害者,其分布在39个国家,主要存在巴勒斯坦、约旦、以色列、黎巴嫩的多个实体,包括大使馆、政府实体、教育、媒体机构、记者、活动家、政党或人员、医疗保健和银行业。
gaza-cybergang-group1-operation-sneakypastes-1-5.jpg

https://securelist.com/gaza-cybe ... sneakypastes/90068/


3 安全厂商发布TRITON幕后组织的分析报告

FireEye发布针对TRITON“海渊”及其幕后组织的具体介绍,并将其归因于莫斯科一家俄罗斯政府拥有的技术研究所。该组织自2014年开始活动,利用各种自定义和公开的入侵工具,以确保长期和持续进入目标环境为目的来展开攻击,将大部分精力集中在获得对OT网络的访问上,专注于网络侦察、横向移动以及维持目标环境中的存在,使用多种技术隐藏活动,一旦获得了对目标SIS控制器的访问权限,主要专注于维护持续访问,同时也试图部署TRITON“海渊”。
Picture1.png

https://www.fireeye.com/blog/thr ... ols-detections.html


4 海莲花组织更新其macOS恶意软件结构

2019年3月初,来自APT组织海莲花(OceanLotus)的新macOS恶意软件样本被上传到VirusTotal。新版本后门与之前版本具有相同功能,但其结构的更改增加了检测难度。样本使用带有“UPX”字符串和Mach-O签名的UPX进行打包,更新了其C2服务器和收集信息的数据,使用外部库进行网络渗透,字符串使用AES-256-CBC加密,使用IDA Hex-Rays API自动执行字符串解密。目前研究人员还未发现与该样本相关的释放器,还未确定初始攻击向量。
Figure-1-wm-1.png

https://www.welivesecurity.com/2 ... cos-malware-update/


5 新攻击链利用权限升级漏洞传播LimeRAT

研究人员发现了一个古怪的感染链,能够使用多种技术绕过传统安全防御手段,完成LimeRAT的传播和扩散。感染链从一个LNK文件开始,这一手法通常是高级攻击者和APT使用的(如APT 29),LNK文件用于从远程服务器下载并运行名为rdp.ps1的PowerShell文件。后者是整个感染链的投放脚本程序(dropper),它首先判断计算机的Windows操作系统版本,并选择几种提权漏洞利用来绕过UAC(用户账户控制)安全机制。最终载荷是Base64加密的PE32文件,以无文件形式存储于注册表(registry hive)。研究人员判断它是开源管理工具LimeRAT。该恶意软件的C2恶意使用Pastebin服务来保证弹性,通过加密HTTPS通道从一个pastie动态获得C2目标地址。此外还利用动态DNS服务warzonedns.com,指向一个位于俄罗斯的IP地址。其注册email曾在2017年的AdWind/JRAT恶意活动中出现,表明幕后操作者已活跃多时。样本使用了至少3种不同的持久化技术,将其自身拷贝到3个不同的路径下。
68747470733a2f2f692e696d6775722e636f6d2f4971354d6b41662e676966.png

https://blog.yoroi.company/research/limerat-spreads-in-the-wild/


6 微软发布4月份补丁更新共修复74个漏洞

微软发布了2019年4月的补丁更新,共修复了74个漏洞,其中15个被归类为严重漏洞。此次安全更新包括修复严重级别漏洞CVE-2019-0803和CVE-2019-0859,漏洞是由Win32k组件无法正确处理内存中的对象造成,将允许攻击者安装程序,查看、更改或删除数据,创建具有完整用户权限的新帐户。目前已发现利用这两个漏洞的攻击样本。用户需尽快进行系统安全更新,免受安全风险。
MS-Patch-Tuesday.png

https://www.bleepingcomputer.com ... 74-vulnerabilities/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 01:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表