设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20200118)
返回列表 发新帖

每日安全简讯(20200118)

[复制链接]
发表于 2020-1-17 21:44 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 安全厂商披露针对中东国家的新远控木马JhoneRAT

思科Talos披露了一个新远控木马JhoneRAT针对中东国家的攻击活动。JhoneRAT是自定义远控木马,使用Python开发,利用云服务活动。JhoneRAT通过恶意的Microsoft Office文档释放,所发现的诱饵文档托管在谷歌云端硬盘(Google Drive)。释放器与JhoneRAT在受害者的计算机上收集信息,然后通过Twitter、ImgBB和Google Forms的云服务执行其所有C2活动。JhoneRAT通过键盘布局来进行目标过滤,仅针对讲阿拉伯语的国家/地区,研究人员根据分析样本,确定其目标是沙特阿拉伯、伊拉克、埃及、利比亚、阿尔及利亚、摩洛哥、突尼斯、阿曼、也门、叙利亚、阿联酋、科威特、巴林和黎巴嫩。
 image11.png

https://blog.talosintelligence.com/2020/01/jhonerat.html

2 安全厂商发现利用Citrix漏洞分发的后门NOTROBIN

FireEye研究人员发现了利用Citrix中的漏洞CVE-2019-19781投放新后门NOTROBIN的入侵活动。CVE-2019-19781是存在于Citrix应用程序交付控制器(ADC)、Citrix网关和Citrix SD-WAN WANOP设备中的漏洞,该漏洞可能导致任意代码执行。攻击者利用漏洞在易受攻击的设备上执行shell命令,从Tor出口节点发出HTTP POST请求,将有效载荷传输到易受攻击的newbm.pl CGI脚本。攻击者似乎利用单个HTTP POST请求来利用设备,从而导致HTTP 304响应,但研究人员目前还没有恢复POST主体内容以了解其工作原理。
 Picture7.png

https://www.fireeye.com/blog/thr ... ining-backdoor.html

3 Metamorfo恶意软件新变种攻击巴西金融机构客户

FortiGuard Labs近日发现新网络钓鱼活动,分析发现,其分发Metamorfo恶意软件新变种,该恶意软件主要针对巴西金融机构的客户以收集数据。钓鱼邮件为葡萄牙语,内容为一条通知,要求受害者下载电子发票(NF),收件人点击后,将下载包含恶意“.msi”文件的ZIP文件,该“.msi”文件作为下载器,执行VBS代码以下载另一个“.msi”文件,其为真正的Metamorfo恶意软件。
 email-content1-copy.png

https://www.fortinet.com/blog/th ... -organizations.html

4 研究人员发现Emotet针对美国军方和政府的攻击活动

思科Talos发现Emotet木马自2019年9月开始针对美国军方(域命“.mil”)和政府(域命“.gov”)发起活动,这一趋势一直持续到2020年1月。Emotet通过入侵别人的电子邮件,将获得对该账户敏感数据和通信的控制,然后冒充受害者并发送邮件副本进行回复,这样其他收件人也将被感染,且感染数量将会不断增加。研究人员发现这些恶意邮件是通过一个被入侵的SMTP账户网络发送。
 image4 (1).png

https://blog.talosintelligence.c ... motets-organic.html

5 TrickBot增加对Windows系统的UAC绕过来逃避检测

TrickBot木马更新了新功能,添加了针对Windows操作系统的UAC绕过,以便它感染用户而不显示任何可见提示。研究人员发现TrickBot执行后,将检查操作系统是Windows 7还是Windows 10。如果是Windows 7,将使用CMSTPLUA UAC绕过;如果是Windows 10,将使用Fodhelper UAC绕过。UAC绕过允许程序在不显示用户帐户控制提示符的情况下启动,该提示符要求用户允许程序以管理权限运行。TrickBot利用此绕过以在没有警告用户的情况下启动自身,从而逃避了用户的检测。
 example-uac-prompt.jpg

https://www.bleepingcomputer.com ... to-evade-detection/

6 研究人员针对Windows CryptoAPI漏洞发布PoC

两名安全研究人员针对Windows CryptoAPI中的漏洞(CVE-2020-0601)分别发布两个PoC。该漏洞允许攻击者欺骗代码签名证书(在Windows中验证可执行程序是必需的),以使恶意应用程序看起来像是来自受信任的来源。两个PoC漏洞已发布到GitHub,这两种方法都可能允许攻击者发起MitM(中间人)攻击,允许攻击者欺骗文件和电子邮件的签名,并在Windows内部启动的程序中伪造已签名的可执行代码。
 microsoft-1.jpg

https://threatpost.com/poc-explo ... -crypto-bug/151931/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 15:58

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表