绿盟科技威胁周报(20211115-20211121)
2021-11-22 19:17:09 Author: blog.nsfocus.net(查看原文) 阅读量:24 收藏

阅读: 19

一、热点资讯

  • 攻击者利用HTML走私技术发起钓鱼攻击

【概述】

研究人员警告说,攻击者越来越多地在网络钓鱼活动中使用 HTML 走私技术。它是一种利用合法 HTML5 和 JavaScript 功能的恶意软件传送的高度规避技术,恶意负载通过 HTML 附件或网页中的编码字符串传送。恶意 HTML 代码是在目标设备上的浏览器中生成的,该设备已经处于受害者网络的安全范围内。当目标用户在其 Web 浏览器中打开 HTML 时,浏览器会对恶意脚本进行解码,进而在主机设备上组装有效载荷。因此,攻击者不是让恶意可执行文件直接通过网络,而是在防火墙后面本地构建恶意软件从而达到攻击目的。

【参考链接】https://ti.nsfocus.com/security-news/IlN1I

  • BotenaGo僵尸网络利用多个漏洞攻击数百万路由器和物联网设备

【概述】

研究人员发现了一个新的 BotenaGo 僵尸网络,该网络利用 33 个漏洞攻击数百万路由器和物联网设备。BotenaGo 是用 Golang (Go) 编写的,在专家发布报告时,它的防病毒 (AV) 检测率很低 (6/62)。为了提供漏洞利用,恶意软件首先使用简单的“GET”请求查询目标。然后,它使用映射到攻击函数的每个系统签名搜索从“GET”请求返回的数据。“字符串“Server: Boa/0.93.15”映射到函数“main_infectFunctionGponFiber”,该函数试图利用易受攻击的目标,允许攻击者通过特定的 Web 请求执行操作系统命令 (CVE-2020-8958)。该僵尸网络针对数百万具有利用上述缺陷的功能的设备,例如向Shodan 查询字符串 Boa,这是一个已停产的用于嵌入式应用程序的开源 Web 服务器,它返回近 200 万台设备。安装后,bot 恶意软件将侦听端口 31412 和 19412,后者用于接收受害者 IP。一旦接收到与该端口信息的连接,它就会遍历映射的漏洞利用函数并使用给定的 IP 执行它们。BotenaGo 将在受感染的设备上执行远程 shell 命令,根据受感染的系统,bot 使用与不同有效载荷相关联的不同链接。

【参考链接】https://ti.nsfocus.com/security-news/IlN1L

  • Moses Staff 新黑客组织攻击以色列组织

【概述】

一个名为Moses Staff 的新黑客组织攻击了以色列组织,破坏了他们的网络,加密了他们的数据,但随后拒绝协商支付赎金,安全研究人员将其描述为出于政治动机的破坏性攻击。该组织通过利用未修补的旧漏洞来破坏受害者的网络,过去的入侵与未打补丁的 Microsoft Exchange 服务器有关。一旦他们破坏了系统,该组织就会使用 PsExec、WMIC 和 Powershell 等工具深入受害者的网络内部。该组织然后在加密其数据之前从受害者的网络中窃取敏感信息,Moses Staff 通常会部署开源 DiskCryptor 库来执行卷加密并使用引导加载程序锁定受害者的计算机,引导加载程序不允许计算机在没有正确密码的情况下启动。即使提供了正确的码,一旦系统启动,数据仍然会被加载,Check Point 表示在某些情况下可以恢复启动密码和加密密钥。黑客还经营一个 Telegram 频道和 Twitter 帐户,在那里他们宣布他们添加到泄密网站的新受害者。

【参考链接】https://ti.nsfocus.com/security-news/IlN24

  • 朝鲜黑客使用木马化IDA Pro攻击网络安全研究人员

【概述】

据报道,隶属于朝鲜的国家资助组织 Lazarus 正试图使用流行的 IDA Pro 逆向工程软件的木马化盗版版本,再次针对具有后门和远程访问木马的安全研究人员。研究人员表示IDA Pro 是一种交互式反汇编程序,旨在将机器语言(也称为可执行文件)翻译成汇编语言,使安全研究人员能够分析程序的内部工作(恶意或其他),并作为调试器来检测错误。斯洛伐克网络安全公司称攻击者将 [Hex-Rays] 开发的原始 IDA Pro 7.5 软件与两个恶意组件捆绑在一起,其中一个是名为“win_fw.dll”的内部模块,该模块在应用程序安装期间执行。这个被篡改的版本随后被编排以从系统上的 IDA 插件文件夹加载名为“idahelper.dll”的第二个组件,成功执行后,“idahelper.dll”二进制文件连接到位于“www[.]devguardmap[.]org”的远程服务器以检索后续有效负载。

【参考链接】https://ti.nsfocus.com/security-news/IlN23

  • 攻击者利用加密恶意软件攻击阿里云

【概述】

研究人员发现攻击者的目标是阿里巴巴弹性计算服务 (ECS) 实例,禁用某些安全功能以进一步实现他们的加密目标。并指出,阿里巴巴提供了一些独特的选择,使其成为攻击者极具吸引力的目标。攻击者使用加密恶意软件中的一小段特定代码来创建新的防火墙规则,指示安全过滤器丢弃来自属于阿里巴巴内部区域和区域的 IP 范围的传入数据包,通常,当加密劫持恶意软件安装在阿里巴巴 ECS 存储桶中时,安全代理会向用户发送恶意脚本正在运行的通知。但是安全代理在触发入侵警报之前已被卸载。一旦它通过了安全功能,恶意软件就会继续安装现成的 XMRig 加密货币矿工,它为门罗币挖矿。

【参考链接】https://ti.nsfocus.com/security-news/IlN2h

  • 攻击者利用SharkBot攻击欧洲银行

【概述】

Cleafy 的安全研究人员发现了一种名为 SharkBot 的新型 Android 银行木马,它针对欧洲的银行。该恶意软件至少自 2021 年 10 月下旬以来一直处于活跃状态,其目标是意大利、英国和美国银行的移动用户。该木马允许劫持用户的移动设备并从网上银行和加密货币账户中窃取资金。一旦银行木马安装在受害者的设备上,攻击者就可以通过滥用辅助服务(即登录凭据、个人信息、当前余额等)窃取敏感的银行信息,SharkBot 实施覆盖攻击来窃取登录凭据和信用卡信息。并且它实施了多种反分析技术,包括字符串混淆例程、模拟器检测和域生成算法 (DGA)。SharkBot 会滥用 Accessibility Service 在受感染设备内进行 ATS 攻击。ATS(自动转账系统)攻击允许 Treat 参与者自动填写合法手机银行中的字段,以便将资金从受感染设备转移到攻击者控制下的账户。这种技术允许自动化这些操作,最大限度地减少用户干预。

【参考链接】https://ti.nsfocus.com/security-news/IlN2i

  • 攻击者使用域前端技术以Cobalt Strike 攻击缅甸

【概述】

Cisco Talos 于2021 年9月发现了一项恶意活动,该活动使用经过混淆的 Meterpreter stager 部署 Cobalt Strike 信标。该攻击者使用缅甸政府拥有和运营的域缅甸数字新闻网络作为其信标的域前端。恶意软件通常是一个在受害机器上运行的加载程序,通过反射注入解码并执行 Cobalt Strike 信标 DLL。它在运行时加载多个库,并根据嵌入的配置文件生成信标流量。配置文件包含与命令和控制 (C2) 服务器相关的信息,该服务器指示受害者的机器发送初始 DNS 请求,尝试连接到缅甸政府所有域名 www[.]mdn[.]gov[ 的主机 [.] 。]毫米。该站点托管在 Cloudflare 内容交付网络之后,实际的 C2 流量根据信标配置数据中指定的HTTP主机标头信息重定向到攻击者控制的服务器 test[.]softlemon[.]net。

【参考链接】https://ti.nsfocus.com/security-news/IlN2k

  • 巴基斯坦黑客经营假应用商店以攻击阿富汗前官员

【概述】

研究人员发现一群巴基斯坦黑客创建并运营了一个虚假的 Android 应用程序商店,目的是在阿富汗前政府沦为新塔利班政权之前和期间,攻击和感染与该政府有关的个人。黑客活动发生在今年 4 月至 8 月之间,由一个名为SideCopy的组织实施 。Facebook 安全研究人员表示,SideCopy 运营商在其平台上创建了虚假个人资料,通常冒充年轻女性,并接近目标,目的是让他们点击恶意链接。这些链接将受害者重定向到收集登录凭据的网络钓鱼站点,或者在某些情况下,重定向到托管受恶意软件感染的 Android 应用程序的虚假应用程序商店。SideCopy 通常使用伪装成聊天消息应用程序的恶意应用程序。他们要么模仿 Viber 和 Signal 等知名品牌,要么完全冒充新的聊天应用程序。这些 Android 应用程序包括远程访问木马。一些应用程序包含一个名为PJobRAT的毒株,而其他应用程序包含一个 以前未报告的 Android 恶意软件毒株 Facebook,名为 Mayhem。这两种恶意软件使 SideCopy 操作员可以完全控制受感染的设备。

【参考链接】https://ti.nsfocus.com/security-news/IlN2w

  • 攻击者利用间谍软件对英国和中东的实体发起水坑攻击

【概述】

研究人员发现以色列间谍软件供应商Candiru,它被添加到这个月的经济块列表,据说已经发动了对英国和中东高调实体“水坑”攻击,它是一种针对性很强的入侵形式,因为它们倾向于通过后门感染特定的最终用户组,该组的成员已知经常访问该组的网站,目的是打开通往其机器的网关以进行后续利用活动。并表示最初的攻击链涉及从远程攻击者控制的域将 JavaScript 代码注入网站,该域旨在收集和泄露有关受害者机器的 IP 地理位置和系统信息,仅当相关操作系统是 Windows 或 macOS 时才选择继续进行,表明该活动是针对计算机而非移动设备精心策划的。最后一步导致了一个可能的浏览器远程代码执行漏洞,使攻击者能够劫持对机器的控制。然而2021 年 1 月观察到的第二波的特点是更加隐蔽,因为对网站使用的合法 WordPress 脚本(“ wp-embed.min.js ”)进行了 JavaScript 修改,而不是将恶意代码直接添加到主 HTML 页面,使用该方法从攻击者控制下的服务器加载脚本。更重要的是,指纹识别脚本还超越了收集系统元数据以捕获默认语言、浏览器支持的字体列表、时区和浏览器插件列表。

【参考链接】https://ti.nsfocus.com/security-news/IlN2z

  •  攻击者利用Emotet 恶意软件对全球邮箱发起攻击

【概述】

研究人员发现Emotet恶意软件在中断十个月后,于15日开始运行。该软件通过多次垃圾邮件攻击,向全球邮箱发送恶意文档。Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。

【参考链接】https://ti.nsfocus.com/security-news/IlN2y

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weekly-20211115/
如有侵权请联系:admin#unsafe.sh