设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190720)
返回列表 发新帖

每日安全简讯(20190720)

[复制链接]
发表于 2019-7-19 20:35 | 显示全部楼层 |阅读模式
1 安天发布Gaza Cybergang移动端攻击事件报告

Gaza Cybergang又名Gaza黑客军团,是一个使用阿拉伯语且有政治动机的网络犯罪组织。其进行情报收集的主要地区位于中东和北非(MENA),特别是巴勒斯坦领土。包括卡巴斯基在内的多家安全厂商都曾对其在PC平台的鱼叉攻击行为发布过多篇报告,但是尚未有安全厂商对该组织在移动平台的犯罪活动进行披露,随着移动平台的日益重要和情报价值的进一步凸显,AVL移动安全团队注意到一起由该组织实施的移动端攻击行为,并捕获了一系列恶意代码。从AVL安天移动安全捕获的恶意样本编译时间看来,恶意代码主要活动于2015年11月到2017年12月这段时间,持续了大约两年时间,并且从样本的代码风格和技术演变上来看,大体可以分为两组样本。两组样本都包含间谍软件的基本功能——隐私窃取功能,这包括:通话记录和录音、地理位置、短信、浏览器记录、启用摄像头拍照和手机中存储的各种文档等信息。AVL安天移动安全将以此事件为蓝本进行具体分析说明,希望能对于这期MAPT行为进行深度还原,为基于移动平台的高级持续性威胁防范提供防御借鉴思路。
 11.png

https://mp.weixin.qq.com/s/EIrULsDhloKDVXvWVlLTDg

2 APT34组织新钓鱼活动使用三种新恶意软件

FireEye确定了伊朗组织APT34组织的网络钓鱼活动,钓鱼邮件伪装成剑桥大学的成员,使用LinkedIn传递恶意文档。攻击目标是能源和公用事业、政府、石油和天然气。APT34在攻击中使用了三种新的恶意软件,TONEDEAF是使用HTTP GET和POST请求与单个C2服务器通信的后门,可以收集系统信息、上传和下载文件以及任意shell命令执行。PICKPOCKET是一种浏览器凭证窃取工具,攻击者利用了它的新变种。LONGWATCH是一个键盘记录器,可以将键击输出到Windows的临时文件夹中的log.txt文件。
 APT34.png

https://www.fireeye.com/blog/thr ... sional-network.html

3 恶意软件针对南美地区使用YOPmail与C2通信

趋势科技最近发现到主要针对南美地区金融机构和政府组织的活动,特别是在哥伦比亚。感染始于发送给目标的电子邮件,附件是一个RTF文件,包含一行文本和一个短链接,投放的第一阶段有效载荷是Imminent Monitor RAT。第二阶段有效负载是用Visual Basic 6编写的Xpert RAT,会从一次性电子邮件服务YOPmail获取C2 URL地址。
 2.png

https://blog.trendmicro.com/tren ... ice-yopmail-for-cc/

4 研究人员发现针对企业的MegaCortex勒索软件

研究人员发现MegaCortex的勒索软件样本,被用于对企业的针对性攻击。研究人员分析受感染计算机时,发现攻击者正在访问网络并破坏Windows域控制器,一旦域控制器遭到入侵,攻击者就会安装Cobalt Strike以打开反向shell。当可以完全访问网络时,攻击者会使用PsExec将批处理文件和名为winnit.exe的勒索软件分发给网络上的其他计算机。目前尚不清楚攻击者是如何获得对网络的访问权限的,但Emotet或Qakbot木马存在于感染了MegaCortex的网络上。
 3.jpg

https://www.bleepingcomputer.com ... re-is-what-we-know/

5 新恶意软件框架被用于进行超过10亿次广告欺诈

Flashpoint研究人员发现了新恶意软件框架,在过去三个月内造成超过10亿次欺诈性广告。该框架具有三个独立的阶段,最终安装了旨在执行欺诈性AdSense展示的恶意浏览器扩展,以及在YouTube视频上生成喜欢并观看隐藏的Twitch流。 一旦浏览器被感染,框架的初始阶段就会执行。安装程序通过在本地磁盘上创建XML文件并将其作为计划任务(schtasks)执行,将自身设置为与Windows Update相关的任务。安装程序通过在本地磁盘上创建XML文件并将其作为计划任务(schtasks)执行,将自身设置为与Windows Update相关的任务。Finder是一个模块,用于窃取浏览器登录和cookie,将它们打包成.zip文件,并将它们发送给攻击者的命令和控制基础设施。Patcher模块是安装浏览器扩展的组件。扩展程序在浏览器中执行后,会开始注入广告或生成对用户隐藏的流量。
 4.png

https://www.flashpoint-intel.com ... ing-in-on-ad-fraud/
Newly Discovered Malware Framework Cashing in on Ad Fraud.pdf (754.95 KB, 下载次数: 13)

6 另一公式编辑器漏洞已被网络威胁组织广泛利用

Office漏洞利用的生命周期中存在一个明显的成熟点:可被威胁组织利用。在此成熟点之前,漏洞利用仅影响少数针对性攻击的受害者。Sophos在最近几个月发现利用该漏洞的针对性攻击,认为公式编辑器漏洞CVE-2018-0798在2019年6月底到达成熟点。研究人员观察了几个利用包含RTF文件的恶意电子邮件传播活动,确定的有效载荷为Fareit、Lokibot、Formbook和AzoruLT,其中分布最广的有效载荷是Fareit。
 5.png

https://news.sophos.com/en-us/20 ... cks-using-it-spike/
回复

使用道具 举报

发表于 2019-7-20 03:56 | 显示全部楼层
第一条链接:https://mp.weixin.qq.com/s/EIrULsDhloKDVXvWVlLTDg
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 22:03

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表