找回密码
 注册创意安天

每日安全简讯(20190606)

[复制链接]
发表于 2019-6-5 21:15 | 显示全部楼层 |阅读模式
1 安全厂商揭示金融犯罪组织Carbanak攻击细节

Bitdefender通过新调查揭示了金融网络犯罪集团Carbanak的完整攻击时间线和行为。Carbanak于2014年在入侵40个国家的100家银行的安全系统并窃取多达10亿美金后被发现,专门针对金融业,其中东欧的金融机构是其主要目标。鱼叉式网络钓鱼作为主要的攻击媒介,Cobalt Strike黑客工具的存在是Carbanak的关键指标。在侦察阶段,收集与银行应用程序和内部程序相关的数据并准备进行渗透,来用于攻击的最后阶段。基础设施侦察主要在非工作时间,以避免触发安全警报。Carbanak从最初入侵,到完全建立的立足点并横向移动只花费几个小时。攻击的最终目标是破坏ATM网络,在协调物理和基础设施犯罪行动中在实现ATM机的兑现。
Bitdefender_an-apt-blueprint-gaining-new-visibility-into-financial-threats_infog.jpg

https://labs.bitdefender.com/201 ... -financial-threats/


2 攻击者使用开源技术组件开展Frankenstein活动

思科Talos团队近日发现攻击者在2019年1月至4月期间,开展针对性攻击活动中的一系列文件。因攻击者使用拼凑的开源组件进行攻击,因此将其称为Frankenstein活动。幕后攻击组织中等复杂且资源丰富。该组织使用两种感染媒介,通过钓鱼邮件发送的word文档后,一种是远程获取利用CVE-2017-11882漏洞的木马化文档,另一种是启用恶意宏并运行Visual Basic脚本。诱饵文档利用了约旦国旗和中东国家政府机构的徽标。活动中利用四种开源技术来构建工具:用于检测在虚拟机运行的文章;利用MSbuild执行PowerShell命令的GitHub项目;用GitHub项目中一个名为“Fruityc2”的组件来构建一个阶段;代理命名为 "PowerShell Empire"的GitHub项目。Frankenstein使用多种反分析技术,例如检查是否有任何分析工具(比如Process Explorer)、受感染的计算机是否是虚拟机环境、只响应包含预定义字段的GET请求。该组织使用了不同类型的加密保护传输数据,上传至C2。
image9.png

https://blog.talosintelligence.c ... stein-campaign.html


3 安全团队披露近期信息窃取器AZORult技术细节

Cylance威胁研究小组发布对AZORult近期观察的技术分析。AZORult是信息窃取恶意软件,用户感染后,AZORult首先生成受害者计算机的唯一ID,并使用XOR加密。加密ID用于C2服务器的初始请求。C2服务器响应配置数据,包含目标web浏览器名称、web浏览器路径信息、API名称、sqlite3查询和合法DLL。然后,AZORult根据其配置数据设置的规则从受害者的计算机中收集敏感信息。收集的信息被打包并进行XOR加密。AZORult还可以下载和运行其它程序。研究人员目前没有在AZORult的恶意软件中观察到任何反分析代码。
fig1-azorult.jpg

https://threatvector.cylance.com ... tealer-malware.html


4 研究人员发现新型的网络攻击僵尸钓鱼活动回归

Cofense最近发现名为Zombie Phish(僵尸钓鱼)的新型网络钓鱼活动回归。这种钓鱼方式像蠕虫一样传播,一旦邮箱的凭证被获取,僵尸网络就会回复被感染账户收件箱中的邮件,也就是僵尸邮件。攻击初始是普通的钓鱼邮件,消息是用于显示按钮的简单HTML,按钮嵌入了URL,可以将受害者重定向到钓鱼页面,然后将会为僵尸邮件收集更多的受害者。
Picture2-464x270.jpg

https://cofense.com/zombie-phish-back-vengeance/


5 远程桌面0day漏洞允许黑客绕过锁屏劫持会话

美国卡耐基梅隆大学CERT报告了Windows远程桌面协议(RDP)中的新0day漏洞,漏洞ID为CVE-2019-9510,允许攻击者绕过远程会话上的锁定屏幕。RDP支持网络级别身份验证(NLA)的功能,该功能可将远程会话的身份验证方面从RDP层移至网络层。在Windows中,会话可以被锁定,屏幕需要身份验证才能继续使用会话。研究人员发现攻击者可以中断RDP客户机系统的网络连接,一旦恢复了网络,在自动重新连接时,RDP会话将恢复到解锁状态,将自动重新连接到远程系统,重新连接的RDP会话将恢复到已登录的桌面,绕过了身份认证的登录屏幕。该漏洞影响Windows 10 1803和Server 2019及更新的Windows版本,目前Windows还未发布相关补丁。
170x170_Microsoft-NLA-Bypass.png

https://kb.cert.org/vuls/id/576688/


6 研究人员为BlueKeep漏洞创建MetaSploit模块

一位研究人员表示为Metasploit渗透测试框架创建了一个模块,该模块利用Windows XP、7和Server 2008机器上的关键BlueKeep漏洞(CVE-2019-0708)来实现远程代码执行。该模块尚未公开发布,因为它会对大量未修补的系统造成危险,但该研究人员发布了一个视频,演示了如何成功利用Windows 2008机器,使用Mimikatz工具提取目标系统的登录凭证后,可以实现完全控制。该研究人员还为此框架开发了一个BlueKeep扫描器模块,用于在不破坏主机的情况下检查脆弱主机。
zerosum-tweet.jpg

https://www.bleepingcomputer.com ... aw-private-for-now/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 23:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表