1 TA505使用Lolbins和新后门攻击金融机构
Cybereason研究人员发现TA505组织近日针对北美、亚洲、非洲和南美洲的大型金融机构展开攻击。第一阶段,鱼叉式钓鱼邮件附件为带有恶意宏的Excel文档,宏命令调用Windows操作系统进程msiexec.exe连接到远程C2服务器,下载第一阶段有效载荷Alg。第二阶段,Alg充当释放器,将二进制文件加载到msiexec.exe,使用两个DLL模块NSIS.nsi脚本,通过rundll32.exe文件执行使用Base64编码的PowerShell脚本,该脚本部署ServHelper后门和四种不同的Lolbins,进行侦察和信息收集。恶意软件利用Sectigo RSA代码签名CA和验证证书。第三阶段,恶意软件连接多个C2,确保至少有一个C2可用,除了上传数据之外,恶意软件执行命令完成执行侦察、持久性、内部侦察活动。
https://www.cybereason.com/blog/ ... ew-backdoor-malware
2 黑客可利用泄漏的NSA恶意软件创建后门
RiskSence的一名安全研究人员根据2017年泄漏的NSA恶意软件创建了概念验证新后门,该后门被称为SMBdoor。SMBdoor被设计为Windows内核驱动程序,一旦安装在PC上,就会利用srvnet.sys进程中未记录的API,将自身注册为SMB(服务器消息块)连接的有效处理程序。该后门非常隐蔽,因为它不绑定任何本地网络套接字、打开的端口或与现有功能的挂钩,可以避免触发某些反病毒系统的警报。研究人员表示创建SMBdoor主要目的是学术探索,其代码没有武器化,网络犯罪分子无法从GitHub下载并感染用户。
https://www.zdnet.com/article/se ... re/#ftag=RSSbaffb68
3 挖矿蠕虫Beapy利用永恒之蓝漏洞攻击企业
Symantec研究人员发现主要影响国内企业的Beapy蠕虫的挖矿活动。Beapy利用EternalBlue漏洞以及被盗和硬编码凭证在企业网络中迅速传播。Beapy是一个基于文件的挖矿程序,初始感染利用电子邮件,其包含恶意Excel附件,用户打开后,将下载DoublePulsar后门,后门允许攻击者远程执行PowerShell命令,与C2进行通信,最终下载Beapy。研究人员还在Web服务器发现早期版本的Beapy,它试图利用Apache Struts漏洞(CVE-2017-5638)、Apache Tomcat(CVE-2017-12615)和Oracle WebLogic Server(CVE-2017-10271)进行攻击。
https://www.symantec.com/blogs/t ... ojacking-worm-china
4 安全团队发现银行木马Qbot的新攻击活动
Varonis安全团队JASK SpecOps在2019年3月下旬发现了银行木马Qbot的新攻击活动。网络钓鱼邮件的附件以在线文档链接的方式提供,电子邮件实际上是对已有的电子邮件线程的回复。该链接使用Google Chrome从域上托管的远程Microsoft OneDrive位置检索ZIP文件,该文件为第一阶段的VBS下载器,然后借助于合法的Windows BITSAdmin实用程序(bitsadmin.exe)下载第二阶段的Qbot恶意软件。Qbot将自身注入explorer.exe进程,并使用32位calc.exe版本覆盖可执行文件,然年通过本地帐户凭证列表进行横向移动,窃取尽可能多的财务数据,发送给C2服务器。
https://jask.com/back-again-unco ... ot-banking-trojan/?
Uncovering-Qbot-v6.pdf
(571 KB, 下载次数: 47)
5 研究人员发现Ursnif攻击意大利个人和组织
Yoroi研究人员发现了针对意大利个人和组织的新一波攻击活动。攻击者使用模仿订单发票等主题的钓鱼邮件,邮件附件包含恶意Excel文档,用户打开后,将被感染Ursnif恶意软件,Ursnif能够记录键盘,窃取保存密码并更改用户Web浏览。
https://blog.yoroi.company/warni ... ursnif-fattura-doc/
6 高通芯片中的严重漏洞允许攻击者窃取私钥
NCC Group披露了高通(Qualcomm)芯片组中存在的严重漏洞,该漏洞被追踪为CVE-2018-11979,允许攻击者利用侧信道攻击从QSEE(高通安全执行环境)中窃取私钥。Android设备包括一个硬件支持的密钥存储库,开发人员可以使用安全的硬件保护加密密钥。研究人员通过分支预测器和内存缓存,能够获得224位和256位ECDSA密钥,导致部分芯片设备高通TrustZone-based密钥存储库泄露敏感信息。该漏洞影响芯片包括IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210/SD 212/SD 205 and SD 410/12,目前该漏洞已被修复,建议使用受影响的高通芯片的Android设备用户更新为最新的固件版本。
https://www.nccgroup.trust/us/ou ... -qualcomm-keystore/
hardwarebackedhesit.pdf
(1.1 MB, 下载次数: 55)
|
发表于 2019-4-25 21:37
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡