找回密码
 注册创意安天

每日安全简讯(20190810)

[复制链接]
发表于 2019-8-9 17:42 | 显示全部楼层 |阅读模式
1 APT组织BITTER针对中国政府开展网络钓鱼活动

Anomali威胁研究小组发现APT组织BITTER针对中国政府和组织的网络钓鱼活动。研究人员调查发现约40个伪装的中国网站,其模仿中国政府、国有企业、中国香港拍卖行、电子邮件服务提供商。所有网站均使用“Let's Encrypt”颁发的域验证(DV)证书,根据证书颁发日期,判断该活动始于2019年5月。当访问者尝试登录钓鱼页面时,会显示弹出验证消息,要求访问者关闭该窗口并继续浏览。目前研究人员已确定6个域和40多个子域,子域命名具有相似结构,具体为字母和数字的随机序列;以恶意域名结尾;在“mail”一词中增加“l”字,如“maill”或“mailll”;使用目标的合法域名;“accountvalidation”和“verify”两个词的变体。
phishing-Chinese-Ministry-of-Foreign-Affairs.png

https://www.anomali.com/blog/sus ... inese-organizations


2 安全厂商发现利用中文网站传播后门的攻击活动

FortiGuard Labs发现利用中文网站针对华人传播恶意软件的攻击活动。被入侵的中文网站位于美国,用于向居住在海外的华人发布中文新闻。攻击者使用水坑技术,被注入的恶意链接伪装成该网站的介绍信息和声称“联系我们的Twitter”的信息。该恶意脚本JavaScript首先会检查cookie数据以确保访问来自Windows系统,其次检查是否存在用于区分Google Analytics中用户和会话的Cookie,如果存在,将动态下载脚本,该注入脚本可以执行从URL投送的任意JS脚本。但目前没有观察到使用该脚本进行攻击。攻击者一种感染为“.ace”文件伪装成“.rar”文件,利用WinRAR文件漏洞下载后门,第二种感染是“.rtf”文件伪装成“.doc”文件,利用Microsoft公式编辑器CVE-2017-11882下载后门。两种方法成功的绕过正常的身份验证。研究人员表示该活动似乎用于实验,因为攻击者使用许多不同技术和工具来定位该网站。
image_1936521522.img.png

https://www.fortinet.com/blog/th ... rojan-analysis.html


3 新攻击活动利用基于云客户关系管理Pardot传播

2019年8月5日,Netskope威胁研究实验室发现了一项攻击活动,通过Salesforce公司基于云的客户关系管理(CRM)Pardot进行传播。攻击开始于从Pardot存储中下载的ZIP存档,其包含一个lnk文件, lnk文件包含一个用于在加载脚本文件的参数。参数函数后附加恶意代码,以逃避传统的安全扫描和lnk-parser等工具。脚本使用字符混淆,从Google文档下载下一阶段的有效载荷。第二阶段最终有效载荷为Trickbot银行木马。此种攻击手法利于逃避检测,因为驻留在云CRM服务中的恶意文件通常被视为内部文件,并且云CRM平台的用户对软件具有高度的信任,将数据和相关的“链接”视为内部所有。
pasted image 0.png

https://www.netskope.com/blog/pardot-crm-attack


4 TrickBot木马添加Cookie Grabber信息窃取模块

Cofense研究人员发现TrickBot银行木马增加了一个新信息窃取模块,用于收集Web浏览器cookie数据,研究人员将该模块称为“Cookie Grabber”。模块的下载方式与TrickBot使用的其他模块相同,明显区别在于能够在本地解析Web浏览器数据库,以提取目标信息。模块面向Firefox、Chrome和IE浏览器。在受害者机器上被下载后,将解码注入svchost.exe,尝试使用两个HTTP POST命令来对所收集的窃取信息。模块具有一个附加功能,可以进一步控制和操纵受害者的主机。
Picture1-480x280.jpg

https://cofense.com/trickbot-add ... on-stealing-module/


5 垃圾邮件活动针对通过Word文档传播Ammyy后门

Ahnlab研究人员自2019年8月9日早上以来,观察到大量针对韩国传播Ammyy后门的垃圾邮件活动。垃圾邮件主题为“扫描文件”,带有Word附件,内容为“项目收据”。Word文档中包含两种类型的宏代码。第一种类型使用IE对象连接到外部地址下载编码的二进制文件,解码后,声称DLL文件执行,下载Ammyy后门。第二种类型为使用表单对象信息从外部下载和执行MSI文件,最终下载证书签名的Ammyy后门。
1565341270(1).png

https://asec.ahnlab.com/1243


6 Avaya VoIP电话固件中被发现存在十年的RCE漏洞

Mcafee研究人员在Avaya VOIP电话固件中发现已存在十年之久的旧漏洞。Avaya是第二大VOIP解决方案提供商,其安装基础覆盖了90%的财富100强企业,产品面向从小型企业、中型市场到大型企业的广泛客户。该漏洞最初在2009年被报道,但未能将后续安全补丁应用。该漏洞为存在于开源软件中远程代码执行(RCE)漏洞,允许攻击者接管手机,并从扬声器中窃取对话。受影响的型号为9600系列、J100系列、B189。Avaya已发布Avaya固件映像修复了该漏洞。
Avaya9600.jpg

https://securingtomorrow.mcafee. ... in-phones-firmware/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 20:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表