找回密码
 注册创意安天

每日安全简讯(20200702)

[复制链接]
发表于 2020-7-1 20:44 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 APT组织StrongPity攻击土耳其和叙利亚

Bitdefender研究人员最近发现APT组织StrongPity一直针对土耳其和叙利亚的受害者。StrongPity利用水坑攻击策略有选择地感染受害者,使用木马化的流行工具,包括文件存档器、文件恢复程序、远程连接应用程序、实用程序甚至安全软件,并部署了三层C&C基础设施以阻止被分析。研究人员调查发现攻击者对库尔德人社区尤其感兴趣,还发现其中一个行动似乎是从2019年10月1日开始的,恰好与土耳其发动了对叙利亚东北部的军事攻势“和平之春”行动(Operation Peace Spring)相吻合,目前还没有直接的证据表明,StrongPity是支持土耳其的军事行动的APT组织,但与受害者档案和分析样本时间戳构成了一个有趣的巧合。
1593607737(1).png

https://labs.bitdefender.com/202 ... and-infrastructure/
Bitdefender-Whitepaper-StrongPity-APT.pdf (5.18 MB, 下载次数: 27)


2 KONNI使用恶意Excel文件窃取用户信息

AnLab ASEC收集到APT组织KONNI使用的恶意Excel文件。Excel文件诱使用户启用宏,启用后,将下载的第二个Excel文件,并显示法院裁决“违反访问销售法需要支付罚款”的内容,然后,要求启用宏。当启用第二个Excel文件宏时,则按顺序执行从第一个Excel文件下载的文件,并可以获取用户信息和下载其他文件。
下载.png

https://asec.ahnlab.com/1341


3 Kimsuky利用COVID-19主题开展攻击活动

ESTSecurity最近发现Kimsuky组织利用COVID-19主题文档进行攻击。Kimsuky使用wsf类型的恶意脚本进行攻击,脚本代码内部与COVID-19相关的hwp文档和恶意dll二进制文件使用Base64编码。当显示hwp文档时,会创建dll文件并开始感染活动。恶意文件尝试与C2服务器通信,并传输受感染计算机的MAC地址和操作系统信息。
9950463A5EF941FB31.png

https://blog.alyac.co.kr/3091


4 新Mac勒索软件利用盗版安装程序传播

研究人员在俄罗斯论坛上发现恶意的盗版Little Snitch安装程序用于传播新Mac勒索软件。该安装程序包含安装在/Users/Shared/中的合法Little Snitch安装程序和卸载程序、名为“patch”的可执行文件以及一个安装后脚本,该脚本为在安装过程完成后执行的shell脚本,其用于加载勒索软件。该脚本将patch文件移动到与Little Snitch相关的位置,并将其重命名为CrashReporter(macOS中有一个名为Crash Reporter的合法程序)。然后,它将自己从/Users/Shared/文件夹中删除并启动新副本。最后,它启动Little Snitch安装程序。该勒索软件实际上并未开始加密任何内容。研究人员还发现了一个额外的恶意安装程序,为Mixed In Key 8的DJ软件,该安装程序不包含使用启动合法安装程序的代码,只是将应用程序直接拖放到Applications文件夹中。一旦安装程序触发了感染,该勒索软件将在硬盘驱动器上传播自身,还通过启动代理和守护程序plist文件设置持久性。
OSX.EvilQuest-rutracker-post-600x344.png

https://blog.malwarebytes.com/ma ... ing-through-piracy/


5 美国施乐公司遭到Maze勒索软件攻击

Maze勒索软件已经入侵了施乐公司的系统,并在对文件进行加密之前盗取了文件。施乐公司是一家美国公司,在160多个国家/地区销售印刷和数字文档产品与服务。该公司没有披露网络攻击,但是Maze勒索软件操纵者发布了一些屏幕快照,显示施乐公司的网络域已被加密。屏幕截图显示,由施乐公司管理的域上主机被黑客入侵。
Xerox-corporation.png

https://securityaffairs.co/wordp ... e-hacked-xerox.html


6 微软修复Windows编解码器中两个错误

微软发布了带外安全更新,修复Microsoft Windows Codecs库中的两个远程代码执行(RCE)错误。这两个错误被跟踪为CVE-2020-1425和CVE-2020-1457,仅影响Windows 10和Windows Server 2019发行版。微软表示,攻击者可以通过特制图像文件来利用这两个安全漏洞。如果用户在使用内置Windows编解码器库处理多媒体内容的应用程序中打开格式错误的图像,则将允许攻击者在Windows计算机上运行恶意代码并有可能接管该设备。安全更新已通过Windows Store应用程序静默部署给用户。
microsoft.png

https://www.zdnet.com/article/mi ... -in-windows-codecs/


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 11:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表