设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20191115)
返回列表 发新帖

每日安全简讯(20191115)

[复制链接]
发表于 2019-11-14 22:11 | 显示全部楼层 |阅读模式
1  APT33使用约12个C&C服务器进行强针对性攻击

趋势科技研究人员发现APT33组织使用约十二个实时命令与控制(C&C)服务器进行强针对性攻击,目标为中东、美国和亚洲的组织。攻击者设置了多层模糊处理来运行这些C&C服务器,这些僵尸网络,每一个都是由十二台受感染的电脑组成的一个小组,可用于在选定目标网络内保持持久性,他们具有基本并有限的功能,包括下载和运行其它恶意软件。在2019年活跃的感染活动中,目标包括一家美国私营公司的两个独立地点,来自美国的一所大学和一所学院的受害者,还有几名受害者来自中东和亚洲。
 APT33-Infection-Chain-1-01.jpg

https://blog.trendmicro.com/tren ... e-narrow-targeting/

2 研究人员披露近期LoLBins攻击活动的技术细节

思科Talos介绍了LoLBins技术及其近期利用该技术的相关活动。LoLBin是由操作系统提供的任意二进制代码,通常用于合法目的,但被攻击者滥用下载并安装恶意代码、执行恶意代码、绕过UAC、绕过例如WDAC的应用程序控制,其中利用Powershell是主要的手段之一。研究人员介绍了三种利用Powershell的案例。第一个是勒索软件Sodinokibi最初利用的PowerShell使用Invoke-Expression cmdlet启动,使用Net.WebClient.DownloadString函数从Pastebin网页下载的载荷。第二个是挖矿恶意软件使用PowerShell功能对内存中的代码进行模糊处理和多层混淆,最终释放载荷,Invoke-Obfuscation模块通常用于PowerShell混淆。第三个是攻击者将Cobalt Strike信标与从Cobalt Strike框架中获取的PowerShell暂存器一起用于开发后的活动。此攻击通过滥用 rundll32.exe 和调用JScript代码的命令行启动,以下载网页并启动初始PowerShell阶段。
 image4.jpg

https://blog.talosintelligence.c ... ng-for-lolbins.html

3 专家发现针对特定驱动器的勒索软件AnteFrigus

安全专家发现一项新广告活动,正分发AnteFrigus勒索软件。广告活动将用户重定向到RIG漏洞利用工具包,该漏洞利用包使用恶意脚本,这些脚本托管在攻击者所有或受感染的网站上,然后利用Internet Explorer漏洞,安装勒索软件AnteFrigus。该勒索软件仅加密与可移动设备和映射的网络驱动器关联的驱动器,而不加密C盘上的任何文件。安全专家推测这可能是错误,而不是预期的行为,该勒索软件可能仍处于开发或测试阶段。
 encrypt-drives.jpg

https://www.bleepingcomputer.com ... ts-specific-drives/

4 研究人员发现新JavaScript支付卡窃取程序Pipka

安全研究人员发现了一个名为Pipka的新型JavaScript支付卡窃取程序,到目前为止,已经发现该恶意软件感染了至少16个电子商务网站。Pipka旨在从电子商务网站的结帐页面窃取用户的支付卡详细信息,包括持卡人编号、支付卡帐号、到期日期、CVV号以及其它一些敏感数据。攻击者还可以进一步配置Pipka,来获取用户在电子商务网站购物时输入的特定字段的数据。Pipka带有自清理机制,在成功安装执行后,会试图通过从受感染网站的HTML代码中删除自身来逃避检测。
 shutterstock_313339853.jpg

https://cyware.com/news/new-java ... e-websites-54ab0919
pfd-identifies-new-javascript-skimmer.pdf (288.27 KB, 下载次数: 13)

5 新TSX投机性攻击允许窃取英特尔CPU敏感数据

安全研究人员发现了一个新漏洞(CVE-2019-11135),被称为ZombieLoad 2,又名TSX异步中止,是一个影响最新英特尔CPU的新缺陷,可以用来发动TSX投机性攻击。该漏洞影响英特尔处理器中的事务同步扩展(TSX)功能,可能会被本地攻击者或恶意代码利用,以从底层操作系统内核中窃取敏感数据。英特尔目前已经发布了缓解措施。
 intel-chip.jpg

https://securityaffairs.co/wordp ... ulative-attack.html

6 迈克菲反病毒产品存在漏洞易受DLL劫持攻击

SafeBreach Labs在所有版本的迈克菲反病毒(McAfee Antivirus)软件中发现了一个新漏洞,漏洞ID为CVE-2019-3648,允许攻击者进行DLL劫持攻击。具有管理员特权的攻击者利用该漏洞,可绕过McAfee的自卫机制,并通过将任意未签名的DLL加载到作为NT AUTHORITY\SYSTEM运行的多个服务中来实现防御规避和持久性。该漏洞根本原因为没有针对二进制文件进行数字签名验证。wbemprox.dll试图从当前目录导入wbemcomn.dll,但实际目录与当前目录不符。迈克菲反病毒软件的MTP、AVP、MIS的16.0.R22版本均受此漏洞影响,目前版本16.0.R22 Refresh 1已解决该问题。
 safe2-0001.png

https://safebreach.com/Post/McAf ... sages-CVE-2019-3648

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 17:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表