找回密码
 注册创意安天

每日安全简讯(20190807)

[复制链接]
发表于 2019-8-6 21:19 | 显示全部楼层 |阅读模式
1 Strontium组织入侵物联网设备访问企业网络

Microsoft威胁情报中心研究人员在4月份发现了俄罗斯组织Strontium(APT28)的基础设施,该基础设施与多个外部设备进行通信,试图在多个客户位置上入侵流行的物联网设备,包括VOIP电话、办公打印机和视频解码器。攻击者已通过这些物联网设备获得了对公司网络的初始访问权,然后寻找可以访问更高价值数据的更高权限的帐户。攻击者运行tcpdump嗅探本地子网上的网络流量,并且还列举了行政组以进一步攻击。当从一个设备移动到另一个设备时,攻击者会释放一个简单的shell脚本,以在网络上建立持久性,允许扩展访问继续进行搜索。研究人员通过对网络流量的分析表明,设备还与外部命令和控制(C2)服务器通信。研究人员在发现被入侵的两个案例中,部署设备的密码未更改默认制造商的密码,第三个案例中,设备未应用最新的安全更新。相关公司和用户需提高安全风险认知,更好地整合物联网设备。
DCU.jpg

https://msrc-blog.microsoft.com/ ... -path-to-intrusion/


2 安全厂商披露与Gorgon相关的Aggah活动

Yoroi研究人员近日发现新Aggah活动,通过复杂的感染链最终投送RevengeRAT。该系列活动(包括之前披露的Roma225活动 )疑似与Gorgon Group相关联,但目前还没有确切证据来证实,Yoroi内部将其称为TH-173。攻击活动感染始于包含恶意宏的Excel文档,宏将运行托管在远程的mshta.exe,从远程主机上获取要运行的HTA应用程序。恶意代码隐藏在博客网站中,由实际为VBScript的mshta.exe执行。然后继续执行托管在Pastebin上的新HTA应用程序。恶意JS脚本解码后,可分为四个部分,第一个部分结束Microsoft Office套件进程;第二个部分为代码核心,隐藏Powershell脚本中的下一个恶意软件阶段调用;第三部分通过“Run”注册表项和计划任务设置两种不同持久性机制;第四部分包含大量注册表项,可以在目标机器上设置。接下来第二部分的Powershell以数字格式对其有效载荷进行编码,另一个混淆的Powershell脚本直接在正在运行的进程内存中加载shellcode。通过Process Hollowing技术将最终有效载荷RevengeRAT注入目标进程。
pasted image 0.png

https://blog.yoroi.company/resea ... to-the-rg-campaign/


3 Trickbot新活动通过高度混淆的JS文件投送

趋势科技研究人员近日发现了银行木马Trickbot变种的新活动。该变种通过分布式垃圾邮件传播,邮件附件为包含恶意宏的word文档,宏运行后将释放严重混淆的JS文件,该文件下载Trickbot变种作为其有效载荷。Trickbot会检查所入侵的计算机正在运行的进程数,来判断是否可能在虚拟机中运行。除了窃取信息外,Trickbot还会删除可移动驱动器和网络驱动器中具有特定扩展名的文件,然后用恶意软件的副本替换这些文件。目前Trickbot对美国、中国、加拿大和印度分发了垃圾邮件,其中对美国影响最大。
fig-1-Trickbot-spam-js-infection-chain.jpg

https://blog.trendmicro.com/tren ... obfuscated-js-file/


4 研究人员发现MegaCortex勒索软件新变种

iDefense的工程师发现并分析了最近更新的勒索软件MegaCortex。幕后开发者重新设计了MegaCortex v2,使其能够自我执行,并取消了安装时的密码要求,密码在二进制文件中进行了硬编码。主有效载荷DLL解密后从内存中执行,加入了反分析功能,以及阻止和结束多种安全产品和服务的功能。
shutterstock_1050436496.jpg

https://www.accenture.com/us-en/ ... business-disruption


5 研究人员发布eCh0raix勒索软件免费解密器

安全研究人员和勒索软件专家发布了eCh0raix勒索软件免费解密器,受害者可恢复其QNAP NAS设备上的被加密文件。eCh0raix自2018年6月以来,一直以QNAP NAS设备为目标,通过暴力破解密码和利用漏洞来访问该设备。一旦勒索软件获得对QNAP设备的访问权限,它将加密设备上的文件并要求比特币以解密文件。该解密器仅支持7月17日之前被感染的受害者。研究人员正在开发针对最新版本eCh0raix的解密器。
eCh0raix_ransomware.jpg

https://www.bleepingcomputer.com ... nap-files-for-free/


6 默弗里斯伯勒市水务局网站被伊朗黑客入侵

美国默弗里斯伯勒市水务局账单支付网站遭到伊朗黑客入侵。受攻击网页显示了伊朗国旗和盖伊·福克斯面具的图片。图片下方信息显示“被伊朗黑客攻击”和“被Mamad警告攻击”。该部门立即关闭了网站并启动了内部评估,以确定黑客的来源和受损害程度。默弗里斯伯勒的公共信息官员表示黑客通过旧脚本获得了访问在线门户的权限。由于该网站目前已关闭,客户将无法在线支付账单,纽约市的IT部门正在努力恢复网页并更新安全措施。
shutterstock_447402100.jpg

https://cyware.com/news/murfrees ... an-hackers-08a8042b



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 22:01

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表