找回密码
 注册创意安天

每日安全简讯(20200502)

[复制链接]
发表于 2020-5-1 21:20 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 安全厂商披露OceanLotus组织的PhantomLance活动

卡巴斯基研究人员针对Dr.Web在2019年7月披露的Google Play中的一个后门木马进行调查分析,发现了一个与OceanLotus APT组织相关的长期攻击活动,并将该活动称为PhantomLance。该活动中最早的注册域名可追溯到2015年12月。研究人员发现了数十个自2016年以来的相关样本,其被部署在包括Google Play在内的各种应用商店中。最新的示例之一已于2019年11月6日在官方安卓应用商店上发布,谷歌目前已将其删除。研究人员发现该活动与OceanLotus组织以前的安卓活动,在代码上有很多相似之处,还有macOS后门、Windows后门的基础设施重叠和一些跨平台的相似之处。研究人员已观察到从2016年开始该活动在印度、越南、孟加拉国、印度尼西亚等地大约300起针对安卓设备的感染攻击。
sl_phantomlance_23.png

https://securelist.com/apt-phantomlance/96772/


2 安全厂商发现针对全球高管的网络钓鱼活动

Group-IB发现针对全球150多家公司的管理层和高管的网络钓鱼活动。该活动至少从2019年中开始一直活跃,由于该活动对Microsoft Sway的广泛利用而将其称为PerSwaysion。研究人员将该活动归咎于讲越南语的开发者和尼日利亚的操纵者。网络犯罪组织已获取访问许多金融服务公司、律师事务所和房地产集团的MS Office365企业机密邮件。
fig-1@2x.jpg

https://www.group-ib.com/media/perswaysion/


3 黑客利用WordPress网站分发Adwind RAT

自2020年4月的第一周以来,Zscaler ThreatLabZ团队观察到托管在受感染WordPress网站上的几个恶意Java存档(JAR)文件实例。这些JAR文件使用了多层加密来保护其最终的有效载荷,即Adwind远程访问木马(RAT)。所有受感染网站都使用WordPress的内容管理系统(CMS)。攻击者经常利用WordPress插件中的漏洞来访问CMS的管理面板,一旦获得访问权限,就可将其有效载荷托管到服务器上。但在该活动中,大多数受感染网站使用了WordPress的最新版本。研究人员在受感染WordPress网站上发现了攻击者用来控制Web服务器的PHP Web shell。有效载荷的文件名根据不同主题(从冠状病毒到付款发票和运输服务)而有所不同,并使用Qarallax密码服务实现多层加密。
1588326859(1).png

https://www.zscaler.com/blogs/re ... stribute-adwind-rat


4 Zoom安装程序被捆绑传播WebMonitor RAT

趋势科技研究人员近日发现非官方的合法Zoom安装程序被捆绑传播WebMonitor RAT。被利用的Zoom安装程序已更新至版本5.0,可执行文件ZoomInstaller.exe包含合法Zoom安装程序和RevCode WebMonitor RAT文件。运行后,可执行文件将释放名为Zoom.exe的副本,并打开进程notepad.exe运行该副本。WebMonitor RAT将连接URL执行来自远程恶意用户的命令。可执行文件还会将文件Zoom.vbs拖放到Windows用户启动文件夹中,以在每次系统启动时自动执行。可执行文件如果检测到连接到某些调试或安全工具的进程、在虚拟环境中执行或找到与恶意软件、样本、沙箱等文件类似的文件名,将自行终止运行。
wmr.jpg

https://blog.trendmicro.com/tren ... ith-zoom-installer/


5 研究人员发现针对跨国企业的Cerberus变种

Check Point研究人员发现了针对跨国企业集团的Cerberus安卓银行木马变种,其利用该公司的移动设备管理器(MDM)服务器分发。攻击者获得客户的MDM访问权限后,利用MDM远程安装应用程序的能力,来安装Cerberus木马变种。该变种可收集大量敏感数据(包括用户凭据),并将其发送到远程命令和控制(C&C)服务器。Cerberus已感染了该公司超过75%的设备。
cer-2.png

https://research.checkpoint.com/ ... k-vector-using-mdm/


6 安全厂商发布Shade勒索软件解密程序

卡巴斯基研究人员发布针对Shade勒索软件的解密程序,该程序可解密所有被Shade勒索软件加密的文件。Shade(又称Troldesh)勒索软件于2015年开始传播,加密文档、图片、存档(以及一些其他类型的文件),然后要求受害者支付赎金。不同的变种使用了breaking_bad、da_vinci_code等文件扩展名。Shade还可在加密文件之后,下载其它恶意软件。在2019年末和2020年初,Shade幕后组织宣布停止运营该勒索软件,并公布了大约75万个密钥来解密这些文件。
ransomware-data-disclosure-featured.jpg

https://www.kaspersky.com/blog/shade-decryptor-2020/35246/


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 14:36

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表