设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190717)
返回列表 发新帖

每日安全简讯(20190717)

[复制链接]
发表于 2019-7-16 21:36 | 显示全部楼层 |阅读模式
1 安全厂商披露SWEED组织持续多年的活动

Cisco Talos发现大量恶意软件(Formbook,Lokibot、Agent Tesla等)分发活动,这些活动与SWEED组织有关。Cisco Talos最早发现的SWEED活动可以追溯到2017年,钓鱼邮件ZIP文档包含Agent Tesla的打包版本,打包器使用.NET并利用隐写来隐藏和解码第二个.NET可执行文件,该文件检索最终的Agent Tesla有效载荷。在2018年初,SWEED开始利用基于Java的droppers。在2018年4月,SWEED开始利用之前披露的Office漏洞。2018年5月,SWEED开展的活动开始利用Microsoft Office中的另一个漏洞:CVE-2017-11882。从2019年开始,与SWEED相关的广告系列开始利用恶意Office宏。研究人员通过分析识别到该组织的某些成员。
 1.png

https://blog.talosintelligence.com/2019/07/sweed-agent-tesla.html

2 安全厂商披露具有经济动机的组织TA544

Proofpoint于2017年2月开始跟踪具有经济动机的TA544组织,最初使用Panda银行恶意软件。Ursnif银行木马是TA544最常用的恶意软件载荷,Ursnif 1000和Ursnif 4779变体都与TA544组织有密切关系。TA544使用各种有效载荷针对欧洲和亚洲地区,其过去活动的目标是意大利、日本、德国、波兰、和西班牙,新活动只针对意大利和日本。TA544手段特征是隐写术,将恶意代码隐藏在图像中。迄今为止,TA544已经向西欧和日本的受害者投放了超过六种恶意软件有效载荷,包括Chthonic、Smoke Loader、Nymaim、ZLoader、URLZone和Ursnif。
 2.png

https://www.proofpoint.com/us/th ... japan-range-malware

3 研究人员发现新DNS转换木马Extenbro

Malwarebytes研究人员发现名为Extenbro的新DNS转换木马,它带有一个广告软件捆绑器。这些DNS转换木马会更改受感染系统的DNS设置,因此无法访问任何安全供应商的站点,受害者无法下载和安装安全软件。木马还会向Windows 根证书集添加证书,并对Firefox user.js文件进行更改,将security.enterprise_roots.enabled设置为true,将Firefox配置在新添加的根证书的Windows证书存储区。
 Extenbro.png

https://blog.malwarebytes.com/tr ... -protecting-adware/

4 非官方Telegram消息应用程序推广恶意网站

赛门铁克研究人员发现名为MobonoGram 2019的恶意应用程序,宣称是Telegram消息应用程序的非官方版本,并且提供比市场上的官方和其他非官方版本更多的功能。应用程序具有基本的消息传递功能,但它在未经用户同意的情况下在设备上秘密运行一些服务,以及在后台加载和浏览恶意网站。该应用程序支持英语和波斯语,并且在禁止Telegram的地区,如伊朗和俄罗斯,也可以下载。在从Google Play中删除之前该程序已下载超过100,000次。
 Telegram.png

https://www.symantec.com/blogs/t ... app-malicious-sites

5 黑客窃取数百万保加利亚人数据发送给媒体

黑客窃取了数百万保加利亚人的个人详细信息,并通过电子邮件将下载链接发送给当地新闻媒体。黑客称从国家税务局(NRA)网络窃取110个数据库,总计近21 GB。黑客只和当地媒体共享了57个数据库,其中包含11 GB数据,并承诺在未来几天内放出剩下的数据。泄漏数据包含姓名、个人识别码(PIN)、家庭住址和财务收入。大多数信息已有多年历史,可追溯到2007年。泄露的数据还包括一些其它政府机构数据,如民事登记和行政服务(GRAO)部门的社会安全号码身份证明、保加利亚海关机构消费税集中信息系统(BECIS)数据以及国家健康保险基金(NZOK)数据。根据声明,NRA承认了这一事件,并表示正在与内政部和国家安全局(SANS)合作调查黑客行为。
 5.jpg

https://www.zdnet.com/article/ha ... -it-to-local-media/

6 Zoom RCE漏洞还影响另外两个视频会议软件

Zoom for macOS 最近披露的RCE漏洞还影响另外两个视频会议软件RingCentral和Zhumu,实际上二者是Zoom视频会议软件的重新命名版本。超过35万家企业使用的RingCentral和中文版的Zoom,像Zoom for macOS一样,也在用户的计算机上运行隐藏的本地Web服务器,因此容易受到第三方网站的远程命令注入攻击。最初研究人员Jonathan Leitschuh发布了利用漏洞远程打开用户笔记本电脑的网络摄像头和麦克风概念验证,随后被另一位研究人员Karan Lyons升级为远程代码执行攻击,并发布了利用视频。RingCentral已发布macOS会议应用程序的更新版本(v7.0.151508.0712)修补了漏洞。
 6.png

https://thehackernews.com/2019/0 ... ulnerabilities.html


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 22:00

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表