找回密码
 注册创意安天

每日安全简讯(20190622)

[复制链接]
发表于 2019-6-21 20:16 | 显示全部楼层 |阅读模式
1 Turla组织新工具集中使用APT34组织基础设施

赛门铁克观察到在2018年初至今Turla(又名Waterbug)组织针对政府和国际组织的一系列攻击活动,具体已攻击了10个不同国家的13个组织。根据其使用不同的工具集,活动可分为三个不同的攻击浪潮。第一波活动使用名为Neptun的新后门,其安装在Microsoft Exchange服务中,侦听来自攻击者的命令。Neptun还能够下载其它工具、上传被盗文件和执行shell命令。Turla使用了从APT34(又名OilRig、Crambus)间谍组织劫持的基础设施。第二波活动中使用一个修改版本的公开后门Meterpreter、两个名为photobased.dll和远程过程调用RPC自定义后门。新版本Meterpreter进行了编码,并使用“ .wav ”扩展名以掩盖真实目的。第三波活动中使用另一个自定义RPC后门,其使用从公共可用的PowerShellRunner工具派生的代码来执行PowerShell脚本,旨在绕过识别恶意PowerShell使用情况的检测。在执行之前,PowerShell脚本以base64编码存储在注册表中,这可能是为了避免将它们写入文件系统。
Waterbug_Infographics_Final_Part_1.png

https://www.symantec.com/blogs/t ... pionage-governments


2 Adobe Worm Faker蠕虫使用LOLBins传递载荷

Cybereason研究人员发现了新蠕虫变种Adobe Worm Faker,它以zip文件的形式启动,通过可移动设备传送到用户的计算机。恶意zip文件包含一个带有Adobe Acrobat Reader图标启动器(使用合法进程acroup.exe或wscript.exe)和恶意脚本。使用LOLBins隐藏活动,并根据所在机器动态地改变其行为,以为每个目标机器提供最优利用和有效载荷。该蠕虫针对特定的可移动AV产品,这表明其可能存在基于区域的针对性攻击,并且可能具有潜在的严重破坏性,因为它具有五层混淆,能够逃避AV和EDR产品,需要人工干预来防御。
1561119799(1).png

https://www.cybereason.com/blog/ ... customized-payloads


3 Firefox浏览器0day漏洞被用于攻击加密货币公司

Firefox浏览器0day漏洞已被黑客利用攻击加密货币公司Coinbase,该漏洞CVE-2019-11707,Mozilla已于近日发布补丁更新,修复了该漏洞。此次攻击由网络钓鱼邮件发起,针对MacOS用户,当用户使用Firefox访问邮件包含的URL时,将触发漏洞,释放Netwire RAT,以允许攻击者获得对受感染计算机的完全访问权限,Netwire还可以从浏览器和其它应用程序中窃取信息。据研究人员透露目前已发现Windows版本的恶意软件。
app.png

https://objective-see.com/blog/blog_0x43.html


4 Mac挖矿工具Bird通过仿真Linux运行逃避检测

Malwarebytes研究人员在高端音乐制作软件Ableton Live的破解安装程序中,发现了新Mac挖矿工具Bird。Bird的postinstall脚本会将一些已安装的文件复制到具有随机名称的新位置,名称中避免涉及词汇Nazis和Hitler。在系统上释放的文件具有随机的名称和多种功能。其中三个是启动守护进程,负责启动三个不同的shell脚本。第一个为Crax,负责依次检查Activity Monitor运行和CPU使用情况,卸载运行进程。然后加载另外两个名为Pecora和Krugerite的脚本进程。Krugerite脚本再次检查Activity Monitor,并启动名为Qemu的开源软件的旧版本,它能够在非Linux系统上运行Linux可执行文件。Poaceae脚本中映像包含一个可引导的Linux系统,和包含用于启动和运行xmrig命令的mydata.tgz文件。Bird使用的xmrig副本是一个通过Qemu仿真运行的Linux可执行文件,有助于逃避检测。
shutterstock_489366043-900x506.jpg

https://blog.malwarebytes.com/ma ... by-emulating-linux/


5 DanaBot木马传播NonRansomware勒索软件

CheckPoint研究人员通过跟踪DanaBot活动,近日发现其在欧洲的活动开始传播Delphi编写的勒索软件,并更新其它功能。DanaBot银行木马通常使用网络邮件分发,所带的链接将执行JavaScript或PowerShell释放器,所有DanaBot版本都通过443端口上的基于TCP的自定义协议与C&C服务器进行通信。不断更新的功能中,DanaBot释放器伪装成Windows系统事件通知服务以绕过UAC,通信协议开始使用AES256进行加密,增加新传播模块“NonRansomware”勒索软件变种,它采用Delphi编写,可枚举本地驱动器上的文件,并加密除Windows目录之外的所有文件。
fig3-2.png

https://research.checkpoint.com/danabot-demands-a-ransom-payment/


6 ResiDex软件公司遭勒索软件攻击影响客户信息

近日ResiDex软件公司遭到勒索软件攻击,影响了其IT系统和服务器基础架构。事件发生后ResiDex采取了必要措施将其服务器恢复到新的托管服务提供商并保护其IT系统,并开始使用公司维护的备份恢复其安全性和服务。通过调查并未发现任何个人信息或受保护的健康信息受到损害。但未经授权访问ResiDex的软件可能会影响个人信息,包括姓名、社会安全号码和受保护的健康信息,包括软件中存在的医疗记录。
shutterstock_384680827.jpg

https://cyware.com/news/residex- ... nformation-2632f76e



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表