设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190429)
返回列表 发新帖

每日安全简讯(20190429)

[复制链接]
发表于 2019-4-28 20:44 | 显示全部楼层 |阅读模式
1 安全厂商披露Lazarus攻击加密货币领域技术细节

卡巴斯基的研究人员在3月份报道了朝鲜APT组织Lazarus针对macOS和Windows的加密货币领域相关用户,Sentinelone研究人员披露了更多的技术细节。钓鱼邮件包含VBA代码,首先测试如果在MacOS上运行,则根据VBA的版本声明system和popen函数。如果不在则定义了144个不同的数据数组,这些数据包含ASCII代码,构成Powershell脚本。再次测试是否在MacOS或Windows机器上运行。MacOS版本通过system函数调用,从URL下载有效载荷,Windows版本使用以下PowerShell命令构造字符串,使用.ps1扩展名保存。MacOS版本是64位Mach-O,符号表明它是一个定制后门,一些方法中包含“Troy”,而Troy行动是专门针对韩国用户的恶意软件活动。最后恶意软件尝试与之联系的三个不同的C2服务器地址通信,研究人员从其中一个C2服务器手动检索了一个高度加密的文件,其似乎是严重混淆的JavaScript,包含解码URI组件,获取,删除和替换cookie以及操纵用户浏览器会话的功能。
 2-translation-of-malicious-doc-1024x734.png

https://www.sentinelone.com/blog ... oned-word-document/

2 研究人员发现首个勒索软件RobbinHood的样本

MalwareHunterTeam研究人员发现了首个勒索软件RobbinHood的样本,通过分析了解更多相关技术细节。RobbinHood首先通过被黑客入侵的远程桌面服务或其它提供攻击者访问权限的木马程序进行分发,执行后,它将通过命令停止181个与杀毒软件、数据库、邮件服务器和其它软件相关的Windows服务,以保持文件打开并防止加密。还使用命令断开了与计算机的所有网络共享,这意味着每台计算机都是单独的目标,没有通过连接共享加密其它计算机。研究人员表示载荷可能通过域控制器或例如Empire PowerShell和PSExec的框架推送到每个单独的机器。然后勒索软件将使用公共RSA加密密钥加密AES密钥和原始文件名,并将其附加到加密文件中。加密成功后,启用的控制台将输出消息。
 robbinhood-header.jpg

https://www.bleepingcomputer.com ... binhood-ransomware/

3 AZORult木马伪装成Windows PC Cleaner传播

研究人员在3月份发现了一个用于推送Windows PC清理工具的网站,工具实际是密码和信息窃取木马Azorult。该网站制作精良,伪装成合法网站,虚假Windows垃圾清理工具名为G-Cleaner或Garbage Cleaner,声称可以删除临时文件、损坏的快捷方式和不必要的注册表项。用户安装后,根据系统版本将下载伪装成PC清理程序的主要组件。然后,它将一个随机命名文件提取到%Temp%文件夹并执行它,该文件是AZORult恶意软件组件,它将试图窃取计算机的密码、数据、钱包和其它信息,最后通过php脚本与C2服务器通信。研究人员在4月26日发现该恶意网站仍然在运行,几乎没有杀毒软件发现它是恶意软件。
 website.png

https://www.bleepingcomputer.com ... fo-stealing-trojan/

4 勒索软件攻击克利夫兰机场机场致信息屏幕瘫痪

2019年4月22日,美国俄亥俄州克利夫兰霍普金斯国际机场遭遇勒索软件攻击,导致显示机场航班到达、离港和行李认领信息的屏幕瘫痪,电子邮件服务暂停。克利夫兰市政厅表示该事件是一个孤立的技术问题,影响了有限数量的系统,并未影响机场的安全和保安业务,也没有任何个人信息受到损害。FBI正在调查此事件,以确定攻击来源并将服务恢复到正常运营状态。
 shutterstock_384921412.jpg

https://cyware.com/news/ransomwa ... on-screens-3666699e

5 互联网系统协会修复DNS软件BIND中三个漏洞

互联网系统协会(ICS)修复了BIND中的三个漏洞。第一个漏洞是高严重性的CVE-2018-5743,它允许攻击者在一个不限制任何给定时间内不限量的连接TCP客户机,造成DDoS攻击。第二个漏洞是中等级别的CVE-2019-6467,它允许攻击者故意触发强迫BIND退出的条件,从而拒绝向其用户提供服务。第三个中等级别漏洞CVE-2019-6468,该漏洞存在支持EDNS客户端子网特性的版本中的nxdomain-redirect特性中,启用nxdomain-redirect可能会导致BIND退出。ICS建议所有用户更新到最新版本的BIND。
 Imaginary-Patch-640x338.jpg

https://www.scmagazine.com/home/ ... rabilities-in-bind/

6 黑客入侵Docker Hub数据库泄露19万用户数据

Docker在2019年4月25日发现未经授权黑客访问其单个官方Hub数据库,虽然黑客只能在短时间内访问这个数据库,但大约有19万名用户的数据已被暴露。Docker Hub是其基于云的服务,已被全球数家公司和数千名开发人员使用。黑客可能获得访问Docker Hub用户名、散列密码以及用于自动构建Docker容器映像的Github和Bitbucket令牌。目前还不清楚黑客是否从这个Docker Hub服务器下载了任何用户数据。Docker现在正在通知受影响用户并提示重置密码。
 dockerhub.png

https://www.zdnet.com/article/do ... ta-of-190000-users/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:41

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表