找回密码
 注册创意安天

每日安全简讯(20190803)

[复制链接]
发表于 2019-8-2 19:33 | 显示全部楼层 |阅读模式
1 SectorE02使用更新的YTY框架攻击巴基斯坦政府

ThreatRecon团队在2019年3月至7月,观察到SectorE02组织针对巴基斯坦政府、国防和情报相关组织的鱼叉式网络钓鱼活动。此次活动中SectorE02组织更新了其军火库中的模块化框架“YTY框架”。发送给受害者的钓鱼邮件附带Excel文件中,部分伪装成巴基斯坦Excel计算表,打开后将要求启用宏,宏将执行下载器,下载器伪装成word文档,每100秒左右进行一次C2查询,接受来自服务器的命令,用于将文件保存到磁盘或在系统上执行文件或命令。然后执行该框架包括的截图插件、文件列表插件、键盘记录插件和上传插件等功能,完成相应的恶意行为,包括信息窃取。
national_bank_pakistan-768x352.png

https://threatrecon.nshc.net/201 ... akistan-government/


2 攻击者使用LookBack攻击三家美国公用事业部门

在2019年7月19日至7月25日期间,三家美国公用事业部门遭受了网络钓鱼攻击。钓鱼邮件冒充美国工程许可委员会的电子邮件域名,邮件附件包含恶意Microsoft Word文档,通过启用VBA宏来释放三个增强保密的邮件(PEM),分别为模拟了notepad++使用的开源二进制文件的名称的文件、恶意加载程序DLL文件和包含恶意软件使用的命令和控制配置数据的文件,最终安装和运行LookBack恶意软件。LookBack是使用c++编写的远控木马(RAT),依赖于代理通信工具来从受感染主机传递数据到命令和控制IP。研究人员发现该活动中使用的宏与2018年针对日本企业的历史性APT活动之间存在相似之处,但LookBack恶意软件以前没有与已知的APT组织相关联,并且没有发现额外的基础设施或代码重叠,因此目前还无法归因于特定组织。
下载.png

https://www.proofpoint.com/us/th ... or-phishing-attacks


3 安全厂商披露Clop勒索软件及其变种的技术细节

Mcafee研究人员介绍了Clop勒索软件及其变种的技术细节。Clop勒索软件于2019年2月8日被发现,通常被打包以隐藏其内部工作,并使用证书签署。Clop会避免在某些条件下运行,例如被要求作为服务安装,如果不成功将自行终止运行。Clop首先检查键盘布局,与硬编码值进行比较。然后将检查文本字符集,与格鲁吉亚语、俄语和阿塞拜疆语进行计算比较,函数将对应执行返回值,如果检查到是使用的以上字符集,Clop将删除自身并终止进程。Clop还会搜索检查是否使用防病毒产品。第二版本的Clop更改了代码的纯文本中的字符串和二进制文件中加密的资源的名称。其它的恶意软件样本,其代码在很大程度上没有改变,但更改字符串也使其更难以检测和分类。目前Clop及变种已在全球感染传播,包括瑞士、大不列颠、比利时等十几个国家。
clop-ransomware-detections.png

https://securingtomorrow.mcafee. ... bs/clop-ransomware/


4 Synology网络附加存储遭到勒索软件eCh0raix攻击

Anomali研究人员对eCh0raix勒索软件针对中国台湾公司Synology的网络附加存储(NAS)设备的攻击活动进行了持续监控。该勒索软件以“.encrypt”扩展名加密,提供支付和获取解密器的URL访问页面具有聊天功能。研究人员通过支付赎金对获取的解密器进行了分析,发现该解密器使用Go语言编译,只有140多行的简单源代码,并且可执行文件只有解密文件的唯一功能。通过研究解密字符串,研究人员发现其与针对QNAP NAS设备的eCh0raix勒索软件相同,所以认为两次活动由同一幕后攻击者所为。
interaction-between-victim-and-perpetrator.png

https://www.anomali.com/blog/thr ... hange-nas-targeting


5 SystemBC利用RIG和Fallout漏洞利用工具包分发

Proofpoint研究人员在2019年6月观察到利用RIG和Fallout漏洞利用工具包分发新恶意软件SystemBC的活动。新恶意软件SystemBC采用C++编写,使用SOCKS5代理来屏蔽进出命令和控制(C&C)基础设施的网络流量,使用安全的HTTP连接来处理Danabot等知名银行木马。由于此代理恶意软件正在多个单独的广告系列中使用,因此研究人员认为它很可能是在地下市场上销售。
systembcpicture2_0.png

https://www.proofpoint.com/us/th ... re-and-exploit-kits


6 研究人员发现针对Bellingcat调查人员的钓鱼攻击

RiskIQ研究人员发现针对Bellingcat调查人员的网络钓鱼攻击活动。Bellingcat是一个调查性新闻网站,专门从事事实核查和开源情报。此次攻击活动只针对10名正在调查俄罗斯的人员。攻击者像目标人员发送鱼叉式钓鱼邮件,主题为“ 有人导出您的加密密钥 ”,其所带链接将被重定向到最终网络钓鱼页面ProtonMail应用程序。研究人员表示最早的注册相关域名在2019年6月27日,并使用免费的Let's Encrypt证书服务。
Webp.net-resizeimage-60.jpg

https://www.riskiq.com/blog/labs/bellingcat-phishing/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表