设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190428)
返回列表 发新帖

每日安全简讯(20190428)

[复制链接]
发表于 2019-4-27 20:42 | 显示全部楼层 |阅读模式
1 安全厂商披露第四部分Carbanak技术细节

FireEye研究人员在第四部分的Carbanak技术分析中介绍了所发现的工具集中有特点的工具。Carbanak幕后攻击者编写了视频播放器功能,能够录制受害者桌面的视频,以了解在目标银行工作的员工的操作流程,从而能够在银行的验证过程不被发现的情况下成功插入欺诈交易。视频播放器功能与C2服务器一对一进行工作。C2服务器以视频播放器自定义视频文件格式,包装从CARBANAK接收的视频流数据,并将视频文件写入磁盘上。研究人员目前发现两种不同版本的视频文件格式,一种是压缩视频数据,另一种是原始格式。
 Blog-Carbanak-header-v2 (1).png

https://www.fireeye.com/blog/thr ... p-video-player.html

2 BabyShark攻击使用PCRat和KimJongRAT

Paloalto的unit42团队自2019年2月披露利用BabyShark恶意软件的活动后,发现其攻击持续到3月和4月,攻击目的除了关于核安全和朝鲜半岛国家安全问题的间谍活动外,还扩展到加密货币行业,以获取经济利益。研究人员在最新的活动中获取到了BabyShark的服务器端和客户端文件,在C2服务器上找到了一个利用Windows VBScript引擎远程执行代码漏洞(CVE-2018-8174)的PHP示例。二级恶意软件在收到攻击者的命令后,安装在受害者主机上的两个经过编码的辅助PE有效载荷文件为KimJongRAT和PCRat。KimJongRAT似乎被完全用作密码收集和信息窃取工具,新增加了一个替代密码混淆API字符串以隐藏其意图,并删除其用于C2数据渗出的网络特性。PCRat为Gh0st RAT恶意软件的变种。
 Fig-2.-BabyShark-flowchart.png

https://unit42.paloaltonetworks. ... mjongrat-and-pcrat/

3 AESDDoS利用Confluence新漏洞进行挖矿

趋势科技研究人员发现AESDDoS恶意软件变种利用Confluence漏洞(CVE-2019-3396)进行多种类型的DDoS攻击和挖矿。攻击者利用CVE-2019-3396在运行易受攻击Confluence服务和数据中心版本的系统上,远程执行shell命令下载并执行恶意shell脚本,该脚本又下载了另一个shell脚本,该脚本最终安装了AESDDoS僵尸网络变种,启动各种类型的DDoS攻击,包括SYN,LSYN,UDP,UDPS和TCP flood。还可以接受并执行远程代码命令和挖取加密货币。目前Atlassian已经采取措施解决Confluence问题,并建议用户升级到最新版本(6.15.1)。
 Figure_3_CVE-2019-3396.jpg

https://blog.trendmicro.com/tren ... ptocurrency-mining/

4 研究人员发现针对巴西银行的恶意软件活动

Zscaler研究人员最近发现了针对巴西银行业的恶意软件NovaLoader活动。NovaLoader使用Delphi编写,使用VBS脚本语言,通过多个阶段投送到受害者计算机。NovaLoader首先将寻找虚拟环境,如果找到,将停止活动。当NovaLoader收集银行帐户详细信息时,可以阻止受害者访问其银行帐户,以便执行任何所需的操作。NovaLoader活动与Overlay RAT非常相似。
 1 Blank Flowchart.png

https://www.zscaler.com/blogs/re ... king-malware-family

5 Google Play商店中存在50个广告应用程序

Avast研究人员在Google Play商店中发现了50个广告应用程序。这些应用程序的每个被安装数量从5千到500万不等,用户下载后,将会持续显示全屏广告,在某些情况下,会试图说服用户安装更多应用。广告软件应用程序通过使用第三方Android库链接在一起,这些库绕过了较新Android版本中存在的后台服务限制,研究人员将基于这些库的广告软件称为“TsSdk”,现已发现它们已经被安装了超3000万次,目前这些广告软件已从从Play商店中删除。
 Google Play.png

https://blog.avast.com/adware-plagues-google-play

6 Oracle修复WebLogic中远程命令执行漏洞

Oracle发布了安全更新修复了Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725)。该漏洞远程允许攻击者在没有身份验证的情况下进行远程代码执行。该漏洞影响产品版本为10.3.6.0.0、12.1.3.0.0。由于此漏洞的严重性,强烈建议用户尽快进行安全更新。
 shutterstock_439056304.jpg

https://www.oracle.com/technetwo ... 9-2725-5466295.html


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表