找回密码
 注册创意安天

每日安全简讯(20190828)

[复制链接]
发表于 2019-8-27 21:24 | 显示全部楼层 |阅读模式
1 TA505针对多国投放ServHelper和FlawedAmmyy

趋势科技研究人员观察到TA505在7月中旬的新攻击活动。该活动针对新增目标国家包括土耳其、塞尔维亚、罗马尼亚、韩国、加拿大、捷克共和国和匈牙利,使用.ISO镜像文件附件作为攻击入口点,以及.NET下载程序、新形式的宏交付,最终投放ServHelper变种和 .DLL FlawedAmmyy下载器变种。针对土耳其和塞尔维亚银行的活动示例中,邮件附件的.ISO镜像为.LNK文件,使用命令行msiexec从URL执行MSI文件,然后pm2文件包含并运行使用NSIS创建的安装程序文件,安装其包含的ServHelper。其它示例中还使用Excel附件包含的恶意宏,从URL下载NSIS创建文件,最终安装ServHelper,与C2通信采用XOR加密。针对韩国企业的攻击中,在以上流程基础上使用.NET下载程序最终安装FlawedAmmyy。而在8月第一周观察到的针对加拿大的攻击中,用户启用文档恶意宏后,将使用IE通信下载文本文件,宏处理文件中使用XOR加密和打包.DLL FlawedAmmyy下载器,写入磁盘,最终安装FlawedAmmyy RAT。
fig9-640x465.png

https://blog.trendmicro.com/tren ... er-and-flawedammyy/


2 奇安信披露摩诃草利用公用平台分发C&C配置

近期,奇安信发现一个摩诃草团伙的XLSM诱饵文档样本,打包时间是2019年8月8号,上传到VT的时间是8月13号。该文档是利用CVE-2017-11882漏洞释放MSBuild.exe到%appdata%目录下,通过写Run启动项实现持久化。然后通过攻击者的Github空间和Feed43空间获取C2配置信息,解密后连接C2,通过http/https隧道通信。通过关联分析,研究人员发现该组织托管在 Github 上的总共44个配置文件,最早使用可以追溯到2018年7月,且多个创建账号的ID可在社交媒体搜索到,大多位于印度和巴基斯坦。截至研究人员报告完成时,相关账号依然在使用。
1566912476(1).png

https://mp.weixin.qq.com/s/a673rBpNF7nsg9f8QozpRw


3 网络钓鱼活动利用多反分析手段分发Quasar RAT

Cofense研究人员发现使用多种反分析手段提供Quasar远程访问木马(RAT)的网络钓鱼活动。网络钓鱼邮件伪装成求职者,附带word文档简历,文档使用密码保护,密码在邮件正文中提供。启用宏后,显示正在加载内容的图像,同时向文档内容添加base64编码的垃圾字符串,以增加内存导致在分析宏时解码进程资源不够而崩溃。有效载荷URL以及其它信息作为嵌入图像和对象元数据隐藏。然后在后台下载并运行恶意Microsoft Self Extracting可执行文件并显示错误消息。可执行文件解压缩为401MB的Quasar RAT二进制文件,此远大于常用VT平台提交方法的文件大小,这将使共享信息变得困难,同时对静态分析内容的自动化平台造成问题。
Figure1-copy-480x444.jpg

https://cofense.com/advanced-phi ... elivers-quasar-rat/


4 研究人员披露Android木马xHelper的技术细节

Malwarebytes研究人员介绍了最初在5月份发现的Android木马xHelper技术细节。xHelper使用盗取的合法软件包名称,但没有使用流行软件,而是使用以“com.muf”开头的包名,该包名与谷歌软件商店中一些益智游戏软件相关。xHelper为假冒JAR文件的加密DEX文件。xHelper存在全隐形和半隐形两种变体,其中半隐形版本在安装时首先在标题为“xhelper”的通知中创建一个图标,而不创建应用程序图标或快捷方式图标,几分钟后,开始向通知添加更多免费游戏的图标,用户点击后将通过浏览器进入游戏网站,完成广告点击活动。全隐形版本唯一存在的是应用信息部分中的简单xhelper列表。
1b-338x600.png

https://blog.malwarebytes.com/an ... jan-raises-xhelper/


5 开源模拟器QEMU漏洞允许黑客执行虚拟机逃逸

研究人员在开源虚拟操作系统模拟器QEMU中发现基于堆的缓冲区漏洞,允许黑客执行虚拟机逃逸。QEMU被认为是VMware的免费替代,可用于几个主要的Linux发行版。该漏洞被追踪为CVE-2019-14378,存在QEMU仿真器的SLiRP网络实现中。如果第一个片段大于m-> m_dat []缓冲区,则重新组合传入的数据包时会在ip_reass()例程中发生此缺陷。攻击者可以利用此漏洞使主机上的QEMU进程崩溃,从而导致拒绝服务或可能执行具有QEMU进程权限的任意代码。目前该漏洞已被修复。
shutterstock_222964006.jpg

https://www.securityweek.com/cod ... evelopment-test-vms


6 专家团队在613个热门网站上发现点击劫持脚本

来自多国的专家团队在613个热门网站上发现了点击劫持脚本,用于广告欺诈或将用户重定向到恶意网站。该团队分析发现,恶意行为者使用三种手段实现劫持,具体为通过超链接单击拦截、单击事件处理程序拦截、通过视觉欺骗点击截取。这些网站每天总共接收了大约4300万次访问,其中一些恶意脚本被用于广告点击,以获取金钱利益,其它用于将用户重定向到带有恶意软件、技术支持欺诈或带有恶意软件的应用程序的恶意网站。
mouse-cursor-clickjacking.png

https://www.zdnet.com/article/cl ... ites-academics-say/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 20:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表