找回密码
 注册创意安天

每日安全简讯(20190418)

[复制链接]
发表于 2019-4-17 20:54 | 显示全部楼层 |阅读模式
1 安全研究人员发现针对越南政府的APT攻击

ElevenPaths研究人员检测到恶意软件发送到属于越南政府域名的电子邮件账户。攻击初始的电子邮件日期为2019年3月13日,附件ZIP文件包含模拟word文档图标的.lnk链接文件,指向的目标包含使用MS-DOS混淆代码,实际为一个base64编码的PowerShell,运行后将创建并运行另一个PowerShell文件,该文件将仅驻留在内存中,并且再次运行WScript Shell。该脚本将再次创建三个文件:显示给用户的诱饵doc文档;安装.NET汇编文件的合法工具,用于绕过SmartSCreen和AppLocker保护;在.NET中创建DLL文件,其包含实际恶意载荷。目前研究人员还未确定该活动归因。
vnapt.png

https://blog.en.elevenpaths.com/ ... ss-vietnam-apt.html


2 Aggah运动针对中东地区传播RevengeRAT

Paloalto unit42观察到始于2019年3月27日主要针对中东国家组织的攻击行动,研究人员进一步分析发现,该活动还影响美国、欧洲和亚洲。初始投送文档目的为通过模板注入从远程服务器加载一个启用了恶意宏的文档,宏使用BlogSpot post获取一个脚本,该脚本使用多个Pastebin粘贴来下载其它脚本,最终下载带有已配置好C2域的有效载荷RevengeRAT。研究人员还发现了其它相关的投送文档,都遵循相同的TTP,并基于TTP最初认为于Gorgon组织有关。但unit42并未确定其它与Gorgon具有更高可识别性的重叠指标,因此不能将其归咎于Gorgon。基于RevengeRAT相关数据和Pastebin帐户名称,将此运动称为 Aggah。
Figure6-1.png

https://unit42.paloaltonetworks. ... rge-scale-campaign/


3 安全团队披露OilRig使用DNS隧道技术细节

Paloalto unit42披露了APT组织OilRig(APT34)长期使用DNS隧道通信的技术细节。OilRig在活动中使用的多种工具,包括Helminth,ISMAgent,ALMACommunicator,BONDUPDATER和QUADAGENT,依赖于DNS隧道在受感染主机与C2服务器之间进行通信。这些工具使用DNS隧道时包括如下特点:所有子域都包含随机生成的值,以避免DNS查询导致缓存响应;大多数依赖于初始握手来获得唯一的系统标识符;大多数依赖于DNS应答中的硬编码IP地址来启动和停止数据传输;数据上传包含一个序列号,该序列号允许C2以正确的顺序重构上传数据;根据工具的不同, OilRig已经使用A、AAAA和TXT查询类型的隧道技术;所有DNS隧道协议都将生成大量DNS查询。
Figure1-1.png

https://unit42.paloaltonetworks. ... rigs-dns-tunneling/


4 NamPoHyu Virus攻击远程Samba服务器

一个名为NamPoHyu Virus(又名MegaLocker Virus)新勒索软件家族目标不是受害者计算机上的文件,而是通过在用户本地计算机上运行,搜索可访问的Samba服务器,通过暴力破解输入密码登陆,然后远程加密Samba服务器的文件并创建勒索信,被加密文件后缀名为.NamPoHyu,勒索信包含Tor支付站点的链接。
ransom-note.jpg

https://www.bleepingcomputer.com ... mote-samba-servers/


5 广告活动使用Chrome漏洞劫持iOS用户会话

Confiant发现一项大规模的恶意广告活动正在利用iOS版本Chrome浏览器中的漏洞,针对来自美国和多个欧盟国家的iPhone和iPad用户,将其重定向到广告软件、诈骗或其它恶意网站。研究人员将该活动归咎名为eGobbler的攻击者。该漏洞允许隐藏在在线广告中的恶意代码打破沙箱化iframe并将用户重定向到另一个网站,或在合法网站上显示入侵的弹出窗口。该漏洞仅影响iOS版本的Chrome,Confiant已向谷歌报告该漏洞。
1_gLjClbPU5nRxoAjWWN91qQ.png

https://blog.confiant.com/massiv ... -users-a534b95a037f


6 Wipro被黑客入侵致其客户遭到网络钓鱼攻击

印度信息技术咨询公司Wipro遭到攻击者攻击,被入侵的IT系统和员工账户被用于针对Wipro客户展开网络钓鱼攻击。Wipro表示攻击者可能具有国家背景,已发现使用被入侵系统针对至少12个客户进行跟进的攻击。有报道称该供应链攻击行为可能持续了几个月。Wipro表示已经聘请了一家外部公司来协助,正在解决这个问题。
shutterstock_402658597.jpg

https://www.scmagazine.com/home/ ... or-phishing-attack/




您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:41

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表