找回密码
 注册创意安天

每日安全简讯(20200513)

[复制链接]
发表于 2020-5-12 20:41 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Hangover使用BackConfig攻击南亚政府和军事组织

在过去四个月中,Unit 42研究人员观察到Hangover(又名白象)组织使用BackConfig恶意软件针对包括南亚政府和军事组织的攻击活动。初始感染使用武器化的Microsoft Excel(XLS)文档,文档通过被入侵的合法网站提供。Excel文档包含VBA宏代码,宏代码启用后,创建文本文件Drive.txt,并将批处理文件写入另一个文本文件Audio.txt,重命名为Audio.bat执行。批处理会清理与先前感染相关的所有文件和文件夹,并重新创建所需环境。批处理文件还创建两个计划的任务来引用两个尚不存在的文件dphc.exe每隔10分钟运行一次和Drive.vbs每隔20分钟运行一次。最后,再删除自身之前,批处理文件会将Drive.txt重命名为Drive.vbs,Drive.vbs将下载BackConfig可执行文件dphc.exe。
word-image-67.png

https://unit42.paloaltonetworks. ... tary-organizations/


2 攻击者利用JsOutProx RAT攻击印度政府和金融机构

2020年4月,ThreatLabZ观察到几次针对印度政府机构和银行的针对性攻击事件。钓鱼邮件已发送给印度储备银行(RBI)、IDBI银行、国家农业银行内部的再融资部门(DOR)、农村发展银行(NABARD),邮件附件包含基于JavaScript和java的后门,其中基于JavaScript后门为JsOutProx RAT,基于Java的后门与JsOutProx RAT功能相似。在针对NABARD政府官员的示例中,研究人员分析发现电子邮件来自波兰托管服务提供商,邮件主题与财务相关,附件为ZIP存档,其包含一个恶意HTA文件。HTA文件包含一个编码的JavaScript代码,执行时会进行base64解码和RC4解密。然后,使用mshta执行。JsOutProx RAT包含的例程从系统收集不同类型的信息,并将其以HTTP POST请求的形式发送到C2服务器。
1589287360(1).png

https://www.zscaler.com/blogs/re ... using-jsoutprox-rat


3 研究人员发现Astaroth信息窃取软件积极攻击巴西用户

在过去9到12个月期间,Astaroth信息窃取软件使用包括COVID-19在内的多种主题诱饵内容来攻击巴西用户。初始感染利用葡萄牙语的电子邮件,邮件带有有效的诱饵内容。用户单击电子邮件中的链接,将被定向到攻击者的服务器。然后,从Google基础架构下载的带有LNK文件的ZIP文件,最终投送Astaroth有效载荷,期间使用大量的反分析和逃避检查手法。Astaroth与C2服务器通信的主要方式是使用Youtube频道说明检索C2域。
image28.jpg

https://blog.talosintelligence.com/2020/05/astaroth-analysis.html


4 研究人员发现用于发动DDoS攻击的恶意安卓应用程序

ESET研究人员发现了一个用于发动DDoS攻击的恶意安卓应用程序。该恶意程序名为“安卓更新”,具有一个相应的非恶意网站,网站显示为“每日新闻更新”。恶意程序在2020年1月针对ESET全球网站发起攻击,该攻击持续了7个小时,使用了4000多个唯一的IP地址。研究人员分析显示,此次攻击使用了数千个该应用程序的实例,这些实例当时在官方的安卓应用程序商店中可用。该应用程序唯一的恶意功能依赖于它从攻击者控制的服务器加载JavaScript并在用户设备上执行的能力。目前,谷歌已将该恶意程序在谷歌应用商店中删除。
Figure-2-1.png

https://www.welivesecurity.com/2 ... rings-ddos-attacks/


5 ATM制造商Diebold Nixdorf遭勒索软件ProLock攻击

ATM制造商Diebold Nixdorf表示,其遭遇勒索软件攻击。该事件仅造成有限的IT系统中断,并没有影响ATM、客户网络或公众。该公司无法提供任何其他详细信息,但有安全人员表示,此次攻击发生在4月25日,其涉及一个名为ProLock的勒索软件,它是PwndLocker的继承者。
Diebold-Nixdorf.png

https://www.securityweek.com/atm ... dorf-hit-ransomware


6 伊朗霍尔木兹海峡的Shahid Rajaei港口遭到网络攻击

伊朗官员宣布,黑客入侵了阿巴斯港市的Shahid Rajaei港口并破坏了少数计算机。阿巴斯港市是伊朗南部海岸波斯湾的霍尔木兹甘省的省会。该市在霍尔木兹海峡上占有战略位置,是伊朗海军的主要基地所在地。该港口的运营受到网络攻击的影响,但伊朗官员没有透露网络攻击细节。
iran-cyber-warfare.jpg

https://securityaffairs.co/wordp ... rt-cyberattack.html


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 14:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表