设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20200308)
返回列表 发新帖

每日安全简讯(20200308)

[复制链接]
发表于 2020-3-7 21:47 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员发现利用云服务的新下载器GuLoader

Proofpoint研究人员观察到一个正在被利用的新下载器,并将其称为“ GuLoader”。GuLoader部分使用VB6编写,传播方式包括将其加密的有效载荷存储在Google Drive或Microsoft OneDrive中直接下载或嵌入如.iso或.rar文件等容器文件中。GuLoader主要用于下载远程访问木马(RAT)和信息窃取程序,研究人员于2019年12月下旬首次观察到GuLoader被用于投送Parallax RAT,并被更多攻击者积极使用,投送Agent Tesla/Origin Logger、FormBook、NanoCore RAT、Netwire RAT、Remcos RAT、Ave Maria/Warzone RAT等。GuLoader使用复杂的注入技术来增加分析的难度,包括生成自身的子进程副本、映射系统DLL(通常是“ msvbvm60.dll”或“ mstsc.exe”)的映像到子级的0x400000上而不是正常的高负载地址、将解压缩代码注入子级、在挂起的子线程的上下文中修改寄存器以将执行重定向到注入的代码中、恢复子进程、子进程使用未打包的代码覆盖0x400000处的系统DLL映像。
 1png.png

https://www.proofpoint.com/us/th ... uses-cloud-services

2 研究人员披露拉丁美洲银行木马Guildma

ESET研究人员披露拉丁美洲银行木马Guildma的技术细节及最新版本的变化。Guildma(又称 Astaroth)是专门针对巴西的拉丁美洲银行木马,除针对金融机构以外,还尝试窃取电子邮件帐户、电子商店和流媒体服务的凭据。Guildma仅通过带有恶意附件的垃圾邮件进行传播,使用系统上已经存在的工具,并不断复用旧版本技术,当前的加密算法结合了Casbaneiro和Mispadu使用的算法。Guildma可实现多种后门功能,并将其功能分成许多模块执行。
 Figure_05_Infection_chain-1024x345.png

https://www.welivesecurity.com/2 ... il-drives-electric/

3 Emotet使用升级的WiFi传播器感染受害者

Binary Defense研究人员近日发现了升级版的WiFi传播器,其已从独立程序更改为Emotet的完整模块,并进行了功能改进。新版本增加了的日志记录功能,允许Emotet攻击者通过使用新的通信协议逐步调试受感染机器的日志。攻击者添加了更多详细的调试信息,同时还使传播器在其下载的有效载荷方面更加灵活。新版本利用Service.exe从C2下载Emotet二进制文件,保存为“ firefox.exe”。如果传播器无法对C$共享进行暴力破解,则将尝试对ADMIN$共享进行暴力破解。另外,新版本中,服务名称已经更改。
 emotet-wifi-spreader-update-003.png

https://www.binarydefense.com/emotet-wi-fi-spreader-upgraded/

4 研究人员发现Ryuk勒索软件的新变种

FortiGuard Labs检测到Ryuk勒索软件的新变种,并对其进行了分析。该变种样本首先将其实际有效载荷解压缩到内存中,创建自身的副本,并使用7个字母的随机名称命名该副本,将其放置在执行该副本的目录中。然后,使用“8 LAN”作为命令行参数调用新的可执行文件。该样本的初始执行集中于对本地机器和映射驱动器上的文件进行加密,而第二次调用执行集中于对网络驱动器进行加密。第二次调用执行还尝试唤醒网络上的计算机。两次调用都执行相同的攻击步骤,不同之处在于,原始调用执行还将自身注入多个合法进程中以运行加密进程,从而增加成功攻击的机会。
picture9.png

https://www.fortinet.com/blog/th ... nt-ryuk-attack.html

5 钢铁制造和采矿公司EVRAZ遭Ryuk攻击

全球最大钢铁制造和采矿公司之一EVRAZ遭受勒索软件Ryuk感染。此次攻击影响该公司在北美的分支机构,主要包括加拿大和美国的钢铁生产工厂。消息人士透露,大多数工厂都已停止生产,该公司的IT员工正在努力控制感染并防止其传播。
 steel-plant.jpg

https://www.zdnet.com/article/on ... -hit-by-ransomware/

6 巴西安全公司泄漏超25GB的客户和员工数据

巴西安全公司Orsegups Participaes由于该公司的一台服务器配置故障,导致超过25GB的文件遭泄露。泄漏的S3存储桶所暴露的文件中包含大量的税务文件,这些文件揭示了提供给公共和私人实体的服务合同的价值,其中包括成千上万的付款单和税务文件,包括Orsegups自己员工的收据和社会保障文件,具体有包括客户的全名、社会保险号码、地址和电话号码等。Orsegups于1月31日收到通知,并在几周后关闭了这台易受攻击的服务器。
 data-breach.jpg

https://www.zdnet.com/article/br ... ent-and-staff-data/

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 16:44

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表