1 安天发布海莲花组织针对移动设备攻击的分析报告
"海莲花"(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动。安天及其他安全厂商之前发布的关于海莲花的分析报告内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。但随着移动互联网的发展,针对移动端的攻击也成为了整个攻击链条中的重要一环。安天移动安全以发生于我国的一起移动端攻击事件为蓝本进行海莲花组织行动的具体分析说明。
https://www.antiy.com/response/20190524.html
2 安全厂商发布VPNFilter恶意软件详细分析报告
Cisco Talos2018年5月23日首次披露了VPNFilter恶意软件,该恶意软件由具有国家背景的开发者开发,以网络基础设施作为目标,感染了50万台设备,意图造成严重破坏。域名toknowall.com2015年12月注册,最初由保加利亚托管服务提供商托管,2017年5月4日变更为法国托管的IP地址。该域名在2018年5月23日威胁被终止之前一直保持活跃状态。通过操作模式、代码、基础设施等因素的分析,VPNFilter恶意软件与BlackEnergy、APT28等组织有关。研究人员5月8日和17日观察到VPNFilter感染数量急剧增加且主要在乌克兰,这表明攻击者正在准备进行攻击。乌克兰安全局表示,这次袭击可能针对在5月26日在基辅举行的欧洲冠军联赛决赛。
https://blog.talosintelligence.c ... er-catastrophe.html
3 研究人员发现Mirai新变种在攻击中利用13个漏洞
趋势科技研究人员发现Mirai新变种在一次攻击中同时使用13个漏洞,这些漏洞都在以前的Mirai相关攻击中使用过。其中三个漏洞针对Web开发格式ThinkPHP以及某些华为和Linksys路由器。并且有11个漏洞在2018年被Mirai变种Omni利用。Mirai新变种改变了传播方式,并且使用三个XOR密钥来加密数据。新变体还使用的不同URL,一个URL作为命令和控制(C2)服务器,其余两个URL用作下载和投递。
https://blog.trendmicro.com/tren ... -and-other-devices/
4 JasperLoader加载器新变种活动继续针对意大利
研究人员发现了名为JasperLoader的新恶意软件加载器,针对意大利和其他欧洲国家传播Gootkit等银行木马。在几周低频的活动之后,JasperLoader出现了新变种,新变种继续针对意大利进行攻击。最初恶意软件通过包含VBS文件的ZIP文件的电子邮件传播,但新样本不使用附件,而是使用超链接。加载器新变种对PowerShell进行了更多层的混淆,增加了基于地理位置的过滤功能,还增加了运行环境检测功能以逃避检测检测。
https://blog.talosintelligence.c ... a-jasperloader.html
5 安全厂商披露威胁组织针对加拿大的攻击活动
在2019年1月1日至2019年5月1日期间,威胁组织进行了大量恶意电子邮件攻击活动,其中近100个攻击活动针对加拿大。加拿大受影响最严重的行业包括金融服务、能源/公用事业、制造业、医疗保健和技术。大多数垃圾邮件投递了Emotet,Emotet是TA542组织一直使用的恶意软件。Ursnif是一种木马程序,可以通过Web注入、代理和VNC(远程访问软件)窃取在线银行网站用户的数据,还可以受害PC上下载恶意软件。虽然Emotet和Ursnif是包括加拿大在内的北美国家最常见的威胁,但研究人员还观察到其它恶意软件,包括:IcedID木马、Trick木马、GandCrab勒索软件、Danabot木马、Formbook窃取软件和Dridex木马。
https://www.proofpoint.com/us/th ... canada-specifically
6 VirusTotal上大多数恶意软件由Comodo CA签署
Chronicle的安全研究人员分析了2018年5月7日和2019年5月7日在VirusTotal上提交的PE可执行文件,发现在总共3,815个已签名的恶意软件样本中,有1,775个使用Comodo CA颁发的数字证书进行签名,Thawte签署的数量为509,VeriSign为261,Sectigo(前Comodo)为182,赛门铁克为131,DigiCert为118。签署了100个或更多恶意软件样本证书的CA 占上传到VirusTotal的签名样本的近78%。研究人员指出,打击证书滥用的唯一真正工具是撤销该证书,但撤销证书的过程中恶意软件仍被视为受信任的。
https://medium.com/@chroniclesec ... profit-ef80a37b50f4
Abusing Code Signing for Profit – Chronicle – Medium.pdf
(265.02 KB, 下载次数: 67)
|