免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Honey Trap行动:APT36攻击印度国防组织
Seqrite研究人员发现与巴基斯坦有联系的威胁组织APT36的活动有所增加,此次所观察到名为“Honey Trap”的行动针对印度国防组织和其他政府组织的人员。APT36使用美女虚假资料来引诱目标打开其电子邮件或在信息平台上聊天。当目标打开包含的附件时,将释放基于MSIL的Crimson RAT,该RAT用于数据窃取活动并将其发送到CnC服务器。
https://www.seqrite.com/blog/ope ... nizations-in-india/
2 新版本Lampion木马在葡萄牙和巴西传播
研究人员发现新版本Lampion木马的攻击活动,其正在影响部分葡萄牙和巴西的银行组织的客户以及部分加密货币平台。新版本中,VBS下载器将从在线云平台下载DLL,并利用Windows rundll32库将DLL注入内存执行。新版本改进了反虚拟机技术,Lampion DLL文件使用商业打包程序VM Protector,并且该文件过大,在检测到正在VM内部运行时显示错误消息。新版本开始使用TCP套接字进行C2通信。
https://seguranca-informatica.pt ... the-vbs-downloader/
3 研究人员发现ArisLocker勒索软件源代码
Cyble研究人员在监视暗网期间发现了ArisLocker勒索软件的源代码。该勒索软件最初会调用login_screen函数在伪造的登录屏幕上输入密码,无论是否输入密码该功能均可以运行。然后,它将扫描路径“C:\Users\” #C:\Users\,遍历所有目录和子目录,并收集代码文件中提到的特定文件类型的文件。创建一个队列,将所有文件推送其中,并调用一个函数将队列放入线程中。调用Encrypt_file函数以使用AES.MODE_ECB加密对文件进行加密,新的文件扩展名为.aris。最后,将执行alert()函数,该函数在受感染系统的桌面上生成readme.txt勒索信。
https://cybleinc.com/2020/07/06/ ... able-on-dark-web-2/
4 安全厂商发布EvilQuest勒索软件解密器
SentinelLabs发布了EvilQuest勒索软件解密器。EvilQuest(现在被称为“ ThiefQuest”)是一种新的macOS勒索软件,其使用了自定义文件加密例程,该例程似乎部分基于RC2而非公钥加密。EvilQuest表现出多种行为,包括文件加密、数据泄露和键盘记录。
https://labs.sentinelone.com/bre ... encryption-routine/
5 安全厂商披露Cosmic Lynx的BEC攻击活动
自2019年7月以来,Agari已经观察到200多个与Cosmic Lynx相关的BEC活动,目标个人遍及六大洲46个国家。与大多数相对不确定目标的BEC组织不同,Cosmic Lynx有一个明确的目标:大型跨国组织。Cosmic Lynx针对的几乎所有组织都具有重要的全球影响力,其中许多是财富500强或全球2000强公司。Cosmic Lynx的目标员工是高级主管,并采用双重模仿方案,最终获取资金完成BEC攻击。
https://www.agari.com/email-secu ... c-lynx-russian-bec/
acid-agari-cosmic-lynx.pdf
(5.26 MB, 下载次数: 7)
6 Citrix发布影响多个产品的11个漏洞补丁
Citrix昨天发布了针对多达11个安全漏洞的新安全补丁,这些漏洞影响了其Citrix应用程序交付控制器(ADC)、网关和SD-WAN -WAN优化版(WANOP)网络产品。成功利用这些漏洞可允许未经身份验证的攻击者对网关或身份验证虚拟服务器执行代码注入、信息泄露甚至拒绝服务攻击。Citrix确认这些漏洞不会影响其它虚拟服务器,例如负载均衡和内容交换虚拟服务器。
https://thehackernews.com/2020/0 ... ecurity-update.html
|