免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 研究人员披露针对物理隔离网络的间谍框架Ramsay
ESET研究人员发现一个以前未曾报道过网络间谍框架,并将其命名为Ramsay。该框架针对物理隔离网络,专门用于收集和泄露敏感文档,但受攻击目标当前可见性较低。研究人员发现该框架通过多种攻击媒介传播,其中Ramsay v1通过利用CVE-2017-0199的恶意文档释放,Ramsay v2.a通过伪装成7zip安装程序释放,Ramsay v2.b通过利用CVE-2017-0199的恶意文档释放,这表明该框架仍在发展中。该框架通过AppInit DLL注册表项、通过COM API的计划任务、Phantom DLL劫持建立持久性。Ramsay v2.a中提供了一个Spreader组件,该组件将充当文件感染者,其传播机制具有很强的攻击性,驻留在目标驱动器中的任何PE可执行文件都可能受到感染。Spreader组件重用了Darkhotel组织Retro后门中的一系列令牌,二者共享相同的编码算法、共享相似的文件名,均使用msfte.dll和oci.dll进行Phantom DLL劫持,并存在保留一些日志文件的方式相似、使用开源工具方面的相似性。此外,Ramsay利用恶意文档中的元数据为韩语。
https://www.welivesecurity.com/2 ... airgapped-networks/
2 使用HTTP状态码的COMpfun变种攻击欧洲外交实体
卡巴斯基研究人员发现使用与COMpfun相同的代码库的新恶意软件。攻击活动针对欧洲的外交实体,初始释放器为带有欺骗性的签证申请程序,其包含的合法应用程序以及32位和64位下一阶段的恶意软件均为加密状态。恶意软件使用了一个有趣的C2通信协议,该协议使用了罕见的HTTP/HTTPS状态码,例如攻击者使用来自客户端错误类的几个HTTP状态码(422-429)来执行相应的恶意软件操作,在控制服务器发送状态“Payment Required”(402)之后,将执行所有之前接收到的命令。恶意软件使用RSA加密窃取数据,通过HTTP/HTTPS给C2。为了在本地隐藏数据,恶意软件使用LZNT1压缩和单字节异或加密。与先前发现的COMpfun相同,所有必要的函数地址都会动态解析,从而使分析更加复杂。目前还无法确定COMpfun来自哪个组织,研究人员通过基于受害者研究,能够将其与Turla关联,但可信程度为中到低。
https://securelist.com/compfun-http-status-based-trojan/96874/
3 研究人员发现高度复杂的Android间谍平台Mandrake
Bitdefender研究人员发现了一个高度复杂的Android间谍平台,并将命名为Mandrake,其至少活跃了4年。Mandrake出于经济动机,受害者大多在澳大利亚、欧洲、美国和加拿大,其中澳大利亚似乎是攻击的主要目标,其窃取了至少数万名用户的数据。与其他恶意软件不同,Mandrake尽量不去感染所有用户,而是优先挑选一些目标设备进行进一步的开发,最终只对感兴趣目标设备进行攻击,其中利用谷歌商店作为释放器感染的目标只有几百个。该恶意软件还使用先进的操纵策略来引诱用户。例如,它会重新绘制用户在屏幕上看到的内容来劫持点击。用户所认为的接受终端用户许可协议实际上是一系列复杂的请求和接收权限。有了这些权限,恶意软件就可以完全控制设备和设备上的数据。Mandrake还包含一个seppuk命令,可清除用户所有数据,不留任何恶意软件痕迹。
https://labs.bitdefender.com/202 ... devices-since-2016/
Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive-已压缩.pdf
(4.04 MB, 下载次数: 17)
4 一项新垃圾邮件活动针对德国用户分发Netwire RAT
G DATA研究人员发现了一项垃圾邮件活动,其通过Excel文件和paste.ee针对德国用户分发Netwire RAT。电子邮件假冒发件人来自德国DHL快递公司,声称因最近的一份订单的送货地址找不到,收件人消需要在附件文件中添加信息。Excel附件包含恶意宏,启用宏后,将激活PowerShell命令,该命令将从paste.ee下载两个文件,通过执行字符替换以解码文件。其中一个文件的第二层混淆是在所有字节值之前添加“ N”,解码后,其包含一个被称为Hackitup的.NET DLL。另一个文件是Netwire RAT,PowerShell命令调用Hackitup将NetWire注入MSBuild.exe。
https://www.gdatasoftware.com/bl ... asteee-and-ms-excel
5 以COVID-19为主题的网络钓鱼活动传播LokiBot木马
微软发现了以COVID-19为主题的网络钓鱼活动,该活动针对企业释放LokiBot信息窃取木马。其中一项网络钓鱼活动中,邮件冒充来自疾病控制中心(CDC)发件人,声称消息有关COVID-19的最新信息以及一项新的“从2020年5月开始的业务连续性计划公告”。另一项网络钓鱼活动中,假冒来自供应商的信息,要求更新银行信息,以便处理因COVID-19病毒封锁的支付款项。两个活动中的电子邮件都使用ARJ附件,其中包含伪装成PDF文件的恶意可执行文件。受密码保护的ARJ文件旨在绕过某些安全解决方案。打开附件后,将开启感染过程最终交付LokiBot木马。
https://securityaffairs.co/wordp ... themed-attacks.html
6 安全研究人员发现1236个网站感染支付卡窃取程序
在过去几周的时间内,安全研究人员发现了1236个被支付卡窃取程序感染的网站。受感染网站包含与食品有关的商店、服务、成人用品和杂项产品等主要类别,还有部分未知类别。主要受感染目标在美国,其次为印度、英国等国家。研究人员通过分析,将该活动跟踪为MageCart Group 12的部分活动,该组织被认为是支付卡窃取活动中一个相对高级的攻击组织。
https://www.bleepingcomputer.com ... edit-card-stealers/
|
发表于 2020-5-14 21:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡