找回密码
 注册创意安天

每日安全简讯(20190804)

[复制链接]
发表于 2019-8-3 21:59 | 显示全部楼层 |阅读模式
1 Geumseong121组织伪装成Lazarus组织攻击韩国

ESTsecurity研究人员近日发现APT组织Geumseong121伪装成Lazarus组织,针对韩国进行攻击。研究人员将此活动称为“模仿游戏活动”(“Operation Imitation Game”)。攻击活动通过鱼叉式网络钓鱼,利用HWP文档传播,伪装成与目标熟悉的人。恶意文档于2019年7月15日进行了修改,文档包含PostScript代码,代码进行了编码,包含Lazarus组织使用的Hex 16字节XOR加密密钥,XOR密钥也出现在之前“Operation Movie Coin”活动中。
993119485D43DB8F10.png

https://blog.alyac.co.kr/2453


2 Cobalt Group的新攻击活动针对哈萨克斯坦银行

CheckPoint研究人员近日发现Cobalt Group针对哈萨克斯坦银行Kassa Nova的新攻击活动。带有银行标识的恶意文件托管银行官方网站上,下载并启动后,该文档显示俄语诱饵信息,并诱骗受害者启用宏查看内容。启用宏后会启动一个多阶段感染链,首先将XSL文件写入本地磁盘,并使用称为“SquiblyTwo”的执行技术运行。此技术使用合法的WMIC实用程序,攻击者只需运行命令即可从XSL文件调用JScript或VBScript代码,代码将从托管在德国媒体公司的远程服务器地址,下载并执行已签名的Cobalt Strike信标,建立立足点。
Drawing6-1.png

https://research.checkpoint.com/ ... urns-to-kazakhstan/


3 Lotsy针对意大利语和西班牙语用户开展诈骗活动

Group-IB研究人员近日发现了Lotsy组织开展的一系列大规模网络诈骗活动,主要针对意大利语和西班牙语用户,涉及使用数十个知名品牌,伪造虚假网站,包括意大利航空Alitalia、家乐福、意大利零售店品牌Conad、国际零售店Target等。Lotsy利用社会工程学,例如在社交媒体帖和WhatsApp消息分享免费赠送赠品的链接,一旦点击将被重定向到虚假网站,重定向到的网站类型取决于用户的国家地区、设备或语言设置。研究人员已经确定了该活动中使用的114个域名,都是根据注册日期、域、域名扩展和内容与模仿对象进行相似性建立。为了避免被发现,二级域名中没有使用品牌名称。目前部分域名仍处于活跃状态。
1@2x.jpg

https://www.group-ib.com/media/lotsy/


4 DealPly利用微软和迈克菲的声誉服务逃避AV检测

Ensilo研究人员发现广告软件DealPly变种利用微软的SmartScreen和迈克菲的 WebAdvisor声誉服务来逃避AV检测。DealPly利用以上声誉服务的数据,可以延长Adware安装程序和组件的使用寿命。DealPly最常见的感染媒介之一是诱使用户通过提供免费软件下载的网站,下载捆绑了广告软件的合法软件安装程序。DealPly每小时连接C&C并通过HTTP发送加密请求完成任务调度程序执行。DealPly分为不同的模块,包括VM检测、密码识别,协同工作以实现其目标。研究人员认为DealPly利用声誉服务的原因为检查其变种和下载网站是否受到损害,是否将产生有效的未来感染。从多个服务器甚至通过Tor等已知代理查询这些服务很容易被识别、列入黑名单,并且可能会暴露DealPly操作。因此,使用分布式计算机网络来收集这些数据可逃避检测。
1564840928(1).png

https://blog.ensilo.com/leveraging-reputation-services


5 GermanWiper勒索软件针对德国进行破坏性攻击

新勒索软件GermanWiper在过去一周内对德国进行严重攻击,该勒索软件不加密文件,而是擦除文件内容,永久性地销毁用户的数据。此种勒索软件似乎仅限于在德语国家传播,主要集中在德国,正通过垃圾邮件活动分发。电子邮件声称是来自名为“Lena Kretschmer”的人的求职申请,附件为简历的ZIP文件,并包含一个LNK快捷方式文件。该LNK文件将安装GermanWiper勒索软件。当用户运行此文件时,勒索软件将使用0x00(零字符)重写各种本地文件的内容,并为所有文件追加新的扩展名。此扩展名具有五个随机字母数字字符的格式,例如.08kJA,.AVco3,.OQn1B,.rjzR8等。加密后GermanWiper将在用户的默认浏览器中打开赎金需求的HTML文件,但受感染的用户支付赎金也无助于恢复文件。
germanwiper-ransom-note.png

https://www.zdnet.com/article/ge ... es-asks-for-ransom/


6 WiFi WPA3协议标准中存在新Dragonblood漏洞

研究人员在WiFi WPA3协议标准中发现两个新Dragonblood漏洞,将泄露WPA3加密操作中信息并允许暴力破解出WiFi网络的密码。第一个漏洞为CVE-2019-13377,当使用Brainpool曲线时,会对WPA3的Dragonfly握手进行基于定时的侧信道攻击。第二个漏洞为CVE-2019-13456,在FreeRADIUS的EAP-pwd中,当需要超过10次迭代时,由于中止将导致信息泄漏。目前研究人员已报告了以上漏洞,Wi-Fi标准现在正在更新,采用了适当的防御措施。
brainpool.png
https://wpa3.mathyvanhoef.com/#new



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:49

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表