1 Sea Turtle活动劫持多国多组织DNS系统
思科Talos发现了一个新的网络攻击活动,将其称为“Sea Turtle”(海龟),幕后攻击者专注于使用DNS劫持作为实现最终目标的机制。该活动最早可能始于2017年1月,并持续到2019年第一季度,目标是公共和私人实体,包括主要位于中东和北非的国家安全组织,目前观察到至少有来自13个不同国家的40个不同组织遭到入侵。研究人员通过评估表示该幕后组织由国家支持,试图获得对敏感网络和系统的持续访问。攻击者首先通过利用已知漏洞或发送鱼叉式网络钓鱼电子邮件获得初始访问权限,并横向移动,通过获得的凭证访问DNS注册表,修改DNS记录,将目标合法用户指向攻击者控制的服务器。当用户与攻击者控制的服务器交互时,捕获合法用户凭据,最终可获取对目标网络和系统的访问权限。
https://blog.talosintelligence.com/2019/04/seaturtle.html
2 黑客泄露伊朗组织APT34间谍工具源代码
自3月中旬以来,账户名为Lab Dookhtegan的黑客在通信软件Telegram上,泄露了伊朗间谍组织APT34使用的工具源代码及其受害者数据。泄露的黑客工具包括Glimpse、 PoisonFrog、HyperShell、HighShell、Fox Panel、Webmask,泄露的66名受害者的数据主要包括用户名和密码组合,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。Dookhtegan还泄露了从APT34的一些后端C&C服务器上收集的Telegram数据,数据来自政府机构和私营公司。此外,Dookhtegan泄露了APT34过去操作的数据,列出了该组织过去托管web shell的IP地址和域名,以及其它操作数据。该泄密者还对伊朗情报部门的官员进行了监听,公布了电话号码、照片和参与APT34行动的官员的姓名。
https://misterch0c.blogspot.com/2019/04/apt34-oilrig-leak.html
3 俄罗斯组织TA505针对全球金融传播后门
CyberInt安全专家披露了以经济为动机的俄罗斯组织TA505的针对全球金融实体的攻击活动。在2018年12月至2019年2月期间的活动中,TA505使用远程操纵系统(RMS)后门来瞄准智利、印度、意大利、马拉维、巴基斯坦和韩国的金融机构。2018年12月针对美国大型零售商和组织的鱼叉式网络钓鱼攻击中,使用了包含VBA的恶意宏Word文档,宏从C&C服务器下载RMS RAT。2018年12月至2019年3月期间攻击全球多国家,攻击中使用的武器化文档利用Microsoft Windows Installer从C2获取有效负载并执行。研究人员还观察到自2018年11月以来TA505使用ServHelper RAT,设置反向SSH隧道,通过RDP远程访问受感染的计算机。
https://securityaffairs.co/wordp ... ancial-attacks.html
CyberInt_Legit Remote Access Tools Turn Into Threat Actors' Tools_Report.pdf
(2.16 MB, 下载次数: 51)
4 新攻击活动利用合法脚本引擎AutoHotkey
趋势科技研究人员发现了一种针对性攻击,其利用合法的脚本引擎AutoHotkey和恶意脚本文件。攻击活动中的钓鱼邮件Excel附件以美国国防安全合作局的一项计划“外国军事融资(FMF)”命名,用户打开恶意宏后,将释放合法脚本引擎AutoHotkey以及恶意脚本文件,用AutoHotkey加载恶意脚本文件来避免检测。然后连接到其C&C服务器以下载并执行其它脚本文件以响应来自服务器的命令。研究人员观察到其最后下载并执行了TeamViewer以获得对系统的远程控制。
https://blog.trendmicro.com/tren ... to-avoid-detection/
5 美国网络安全公司Verint遭勒索软件攻击
美国网络安全公司Verint的以色列办事处遭到勒索软件的攻击。Verint公司总部位于美国,但其大部分业务来自以色列。该攻击影响到内部电子邮件和绿色区域VDI(虚拟桌面基础设施)服务,该公司目前正在解决该问题。
https://www.zdnet.com/article/cy ... -hit-by-ransomware/
6 Oracle发布季度补丁更新修复297个漏洞
Oracle发布了季度安全更新,共修复了297个漏洞。更新的补丁包含了几十个产品的漏洞,针对融合中间件产品集发布53个新的安全补丁,其中42个漏洞允许攻击者无需用户凭证就可远程利用;针对Oracle电子商务套件,包含业务应用程序,包括企业资源规划、客户关系管理和供应链管理,发布了35个新的安全补丁,其中33个可远程利用;针对Oracle通信应用程序发布了26个安全补丁,其中19个可以远程利用。针对零售应用程序套件发布24个安全补丁; 针对Oracle数据库服务器发布六个安全补丁; 针对Java SE,发布了五个安全补丁。Oracle建议用户尽快升级进行补丁更新。
https://nakedsecurity.sophos.com ... n-quarterly-update/
|