1 安全厂商披露ItaDuke的APT框架DarkUniverse细节
2018年,卡巴斯基研究人员发现了一个APT脚本框架,并将其称为“DarkUniverse”,该脚本最初为2017年影子经纪人在“Lost in Translation”事件中曝光,用于检查被入侵系统中其它APT的痕迹。由于其具有独特的代码重叠,研究人员评估“DarkUniverse”为APT组织ItaDuke系列活动之一。该框架从2009年演变到到2017年,至少活跃了八年。截至2017年最新版本的活动中,使用的钓鱼邮件附带的文档中,嵌入的可执行文件会从自身中提取两个恶意文件,即updater.mod和gum30.dll,并将它们保存在恶意软件的工作目录中。然后,合法的rundll32.exe可执行文件复制到相同的目录中,并使用它来运行updater.mod。恶意软件配置存储在注册表中,包括C2域等。C2服务器主要基于mydrive.ch上的云存储。对于每个受害者,攻击者都会在此处创建一个新帐户,并上传其它恶意软件模块和带有执行该命令的配置文件。目前研究人员在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白俄罗斯和阿拉伯联合酋长国发现了大约20名受害者,受害者包括平民和军事组织。
https://securelist.com/darkunive ... framework-27/94897/
2 专家针对印度核电站感染的恶意软件进行技术分析
MarcoRamilli安全专家针对近日印度核电站Kudankulam遭定向攻击的事件中,所感染的恶意软件样本进行了技术分析。该样本于2019年10月27日上传至VT,编译于2019年7月29日,旨在收集信息并最终控制受害机器。样本运行后,主要执行三个操作:导入攻击所有需要的函数和模块(例如日志记录器、临时文件和静态函数);查找本地信息(包括本地IP地址、任务列表、路由和接口信息、位于不同卷中的软件等);将信息复制到中央节点。研究人员分析发现该样本疑似为DTrack恶意软件,二者主要的相似之处包括在OE(原始入口点)和WinMain函数之间的初始样本内存操作阶段;字符串操作函数寻找“CCS_”。DTrack恶意软件以往被认为与朝鲜Lazarus(也被称为APT38、Hidden Cobra)组织有关,研究人员认为该事件也可能表明Lazarus组织将目标从金融机构开始转移到关键基础设施。
https://marcoramilli.com/2019/11 ... al-infrastructures/
3 研究人员发现一台托管大量恶意文件的新服务器
思科Talos最近发现了一台新服务器,该服务器托管着大量恶意文件。通过对这些文件的分析发现,攻击者能够深入地访问受害者的基础设施,并确定了受攻击的几个目标,包括一家位于美国的铝和不锈钢格栅公司。研究人员还在该服务器发现了各种各样的恶意文件,从DopplePaymer之类的勒索软件到TinyPOS之类的信用卡窃取恶意软件,以及一些执行直接从命令和控制(C2)投送代码的加载程序。研究人员表示该幕后攻击者资源丰富,目标疑似是工业领域的中型公司,并且在不同的活动中共享的基础架构。
https://blog.talosintelligence.com/2019/11/c2-with-it-all.html
4 西班牙多家公司和机构遭到针对性勒索软件攻击
11月4日西班牙多家大型公司和机构遭到勒索软件攻击。NTT DATA公司Everis,也是西班牙最大的托管服务提供商(MSP)之一,其计算机系统被勒索软件进行了加密,通过被曝光的Everis加密计算机上的勒索信通知,研究人员确认该勒索软件为BitPaymer。被加密文件扩展名为“.3v3r1s”,这进一步显示了针对MSP的针对性攻击。勒索信中警告该公司不要泄露该事件,同时提供获取赎金数额的详细联系方式,据其它媒体报道,攻击者要求Everis支付赎金金额为75万欧元(835,923美元)。西班牙最大的广播电台网络Cadena SER也遭遇到勒索软件攻击,严重影响了其所有计算机系统。西班牙国土安全部也证实了勒索软件袭击事件,西班牙的INCIBE也受到了影响。
https://www.bleepingcomputer.com ... gest-radio-network/
Ransomware Attacks Hit Everis and Spain's Largest Radio Network.pdf
(407.69 KB, 下载次数: 15)
5 Emotet近期活动中可绕过多电子邮件安全产品检测
Virus Bulletin测试发现Emotet木马在10月份的活动中,可继续绕过多电子邮件安全产品的检测。该活动中,Emotet木马使用被入侵的邮件服务器来发送电子邮件,邮件内容使用简短的通用消息,很难与合法电子邮件区分开。导致检出率低的另一方面是活动规模小。但Virus Bulletin也表示活动规模小并不意味着每个恶意垃圾邮件活动都会实现较低的阻止率。
https://www.virusbulletin.com/bl ... -security-products/
6 跨平台PDF工具Able2Extract存在远程代码执行漏洞
思科Talos最近在Investintech的Able2Extract Professional中发现了两个远程代码执行漏洞。该软件是适用于Windows,Mac和Linux的跨平台PDF工具,可以转换PDF并允许用户创建和编辑。第一个内存损坏漏洞为CVE-2019-5089,通过特制的JPEG文件可能会导致内存写越界,攻击者能够在受害计算机上执行任意代码。第二个内存损坏漏洞为CVE-2019-5088,通过特制的BMP文件可能会导致内存写越界,攻击者能够在受害计算机上执行任意代码。研究人员通过测试确认Investintech Able2Extract Professional 14.0.7 x64版本容易受到这些漏洞的影响。
https://blog.talosintelligence.c ... tract-nov-2019.html
|
发表于 2019-11-5 21:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡