每周威胁情报新闻汇总(20190119)

漏洞相关

  1. Drupal 7,8.5和8.6发布的更新解决了两个可能被利用来执行任意代码的严重漏洞。https://www.drupal.org/sa-core-2019-002。https://www.drupal.org/sa-core-2019-001
  2. 供应商漏洞,Amadeus在线预订系统存在漏洞,允许任何人访问和更改航班预订的私人信息,影响全球近一半航空公司。https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/
  3. Ubuntu 18.04 LTS GNOME蓝牙漏洞。https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-10910.html
  4. 英特尔漏洞CVE-2018-18098,“不正确的文件验证”的问题,可以在Windows机器上利用该问题来升级特权https://www.theregister.co.uk/2019/01/14/intel_patches_sgx_flaw/
  5. winodws 一个0day远程代码执行,https://www.zerodayinitiative.com/advisories/ZDI-19-013/。趋势的安全人员跟踪,http://hyp3rlinx.altervista.org/advisories/MICROSOFT-WINDOWS-VCF-FILE-INSUFFICIENT-WARNING-REMOTE-CODE-EXECUTION.txt
  6. 思科报道TP-LINK TL-R600VPN远程代码执行漏洞。https://blog.talosintelligence.com/2019/01/vulnerability-deep-dive-tp-link.html
  7. ORACLE更新248个补丁https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
  8. twitter漏洞,“私人”推文可以被公开https://www.zdnet.com/article/twitter-bug-revealed-private-tweets-for-some-android-users-for-almost-five-years/
  9. ES File Explorer是适用于Android移动设备的文件管理器应用程序,在全球拥有超过5亿用户。ES文件资源管理器中的漏洞可能允许攻击者从受害者的移动设备和SD卡下载文件,启动应用程序以及查看设备信息。ES文件资源管理器中的另一个漏洞可能允许攻击者拦截ES文件资源管理器的HTTP网络流量并将其切换为自己的流量。https://twitter.com/LukasStefanko/status/1085520661878067200、https://twitter.com/fs0c131y/status/1085460755313508352
  10. “pci.sys”覆盖文件的Windows零日漏洞获得临时修复https://www.bleepingcomputer.com/news/security/windows-zero-day-bug-that-overwrites-files-gets-interim-fix/
  11. linux3个漏洞CVE-2018-16864,CVE-2018-16865和CVE-2018-16866。涉及提权、信息泄露、越权。https://www.openwall.com/lists/oss-security/2019/01/09/3
  12. Microsoft Office漏洞CVE-2018-0506.https://info.mimecast.com/rs/336-TAU-594/images/Microsoft-Office-Information-Exposure-Vulnerability-CVE-2019-0560.pdf

APT攻击活动

  1. APT28--LoJax新的IOC,LoJax仍在活跃!。https://asert.arbornetworks.com/lojax-fancy-since-2016/,另外参考https://www.ncsc.gov.uk/alerts/indicators-compromise-malware-used-apt28
  2. GreyEnergy--BlackEnergy APT活动。GreyEnergy恶意软件是BlackEnergy / Sandworm APT组织新网络武器库的一部分,其主要工具集最后一次见于2015年乌克兰电网网络攻击期间。https://blog.yoroi.company/research/greyenergy-welcome-to-2019/18年报告这这里https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf
  3. 疑似DarkHydrus APT组织针对中东地区的定向攻击活动分析https://mp.weixin.qq.com/s/OOjDvnTm7oH0FCbaHKGgLA
  4. 疑似污水(MuddyWater)APT组织针对白俄罗斯国防部、外交部等机构的定向攻击活动分析https://mp.weixin.qq.com/s/qzTGQMvV-IaAlP_IwCHnLg
  5. 韩国国防部的一个机构-韩国国防采办计划管理局被入侵。文中有更多报告链接。https://www.zdnet.com/article/hackers-breach-and-steal-data-from-south-koreas-defense-ministry/

其他攻击威胁活动

  1. 攻击智利银行Redbanc的网络攻击组织与朝鲜Lazarus有联系,相关样本POWERRATANKBA。https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
  2. 思科发布报告称恶意软件Emotet在节后重新开始活跃。https://blog.talosintelligence.com/2019/01/return-of-emotet.html,最新IOC在这里https://talos-intelligence-site.s3.amazonaws.com/production/document_files/files/000/056/760/original/Emotet-IoCs-01.15.2019.txt?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIXACIED2SPMSC7GA%2F20190116%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20190116T011923Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Signature=2a4b23a74aee830f2c4e754a2fd80e48eb91ff918dfe8521a93b06cfb05697b5
  3. 新的勒索软件,它不仅会加密您的文件,还会尝试使用包含的网上诱骗页面窃取您的PayPal凭据。https://www.bleepingcomputer.com/news/security/new-ransomware-bundles-paypal-phishing-into-its-ransom-note/
  4. 发现的恶意软件通过The Pirate Bay torrent下载电影等方式植入恶意Windows快捷方式,例如将攻击者的内容注入维基百科,Google和Yandex搜索等高端网站或窃取加密货币。https://twitter.com/0xffff0800/status/1083633640062443520。https://www.bleepingcomputer.com/news/security/fake-movie-file-infects-pc-to-steal-cryptocurrency-poison-google-results/
  5. 垃圾邮件中的JavaScript恶意软件传播勒索软件,矿工,间谍软件,蠕虫https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/javascript-malware-in-spam-spreads-ransomware-miners-spyware-worm
  6. 恶意软件Ryuk关联到俄罗斯主要证据是同源样本Hermes在一个俄语演员的黑客论坛Exploit.in上在线销售。此外,与大多数基于俄罗斯的勒索软件一样,Hermes包含的代码不会加密系统语言设置为俄语,乌克兰语或白俄罗斯语的计算机
  7. 新的一年,旧的Magecart,Magecart通过供应链攻击打击众多电子商务网站。https://www.riskiq.com/blog/labs/magecart-adverline/不熟悉的老哥看这个https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf?_ga=2.39418979.191925679.1547718245-1979488036.1513495410
  8. TCL手机预装系统疑似存在恶意活动。https://threatpost.com/pre-installed-android-app-impacts-millions-with-slew-of-malicious-activity/140800/
  9. 阿里云和腾讯云的老哥看过来。unit42报道,“Rocke”挖矿组织使用的恶意软件升级,规避云安全产品的检测。XBASH Linux恶意软件是第一个开发出定位和删除云安全产品的独特功能的恶意软件系列,可以有效规避通讯云和阿里云检测。https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/
  10. 目前攻击者大规模扫描Thinkphp漏洞。近期Thinkphp暴露了好几个高风险漏洞,包括CVE-2018-20062,安全研究人员观察到,攻击者利用Thinkphp漏洞与勒索病毒、挖矿木马等结合广泛攻击。https://blogs.akamai.com/sitr/2019/01/thinkphp-exploit-actively-exploited-in-the-wild.html
  11. 专门针对MAC恶意软件OSX.Dok回归,恶意软件的新变种使用伪造的Adobe PDF图标伪装,攻击者再次瞄准欧洲用户。https://securityboulevard.com/2019/01/mac-malware-osx-dok-is-back-actively-infecting-victims/
  12. 黑客组织利用开源构建自己的僵尸网络(BYOB)框架的攻击被以色列网络安全公司Perception Point的事件响应小组拦截。https://www.infosecurity-magazine.com/news/attackers-leverage-open-source-in/
  13. BlackRouter勒索软件被升级为RaaS,伊朗新闻:加入此RaaS并分发BlackRouter勒索软件的关联公司将获得80%的任何付费赎金支付,其他20%支付给BlackRouter开发人员(都这么明目张胆了?)https://www.bleepingcomputer.com/news/security/blackrouter-ransomware-promoted-as-a-raas-by-iranian-developer/
  14. 新版本的Anubis银行木马伪装成两个用于传播的Android应用程序。Google Play Apps分发。被称为ANDROIDS_ANUSBISDROPPER的恶意软件能够通过记录击键来窃取用户的帐户凭据。https://blog.trendmicro.com/trendlabs-security-intelligence/google-play-apps-drop-anubis-banking-malware-use-motion-based-evasion-tactics/https://arstechnica.com/information-technology/2019/01/google-play-malware-used-phones-motion-sensors-to-conceal-itself/
  15. 新的恶意软件NanoCore 1.2.2.0 RAT通过MS Word文档分发。NanoCore功能包括“受害者机器上的注册表编辑,过程控制,升级,文件传输,键盘记录,密码窃取等” 。https://securityboulevard.com/2019/01/net-rat-malware-being-spread-by-ms-word-documents/
  16. 赛门铁克安全研究人员报告称,自2017年中期以来一直在进行的网络攻击袭击了西非的金融机构。https://www.symantec.com/blogs/threat-intelligence/african-financial-attacks
  17. 思科发布报告分析一个商业样本Imminent_RAT。https://blog.talosintelligence.com/2019/01/what-we-learned-by-unpacking-recent.html
  18. Check Point称,在线游戏Fortnite被入侵。https://research.checkpoint.com/hacking-fortnite/
  19. Chrome网上应用店中的扩展程序可以窃取信用卡信息。https://blog.en.elevenpaths.com/2019/01/chrome-extension-card-cybersecurity.html
  20. 警惕“Windows正在未激活”弹出窗口,有可能攻击者在攻击你。https://malwaretips.com/blogs/remove-windows-is-not-activated-popup/

数据泄露

  1. 配置错误的JIRA服务器泄露了NASA员工的敏感数据。https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b
  2. 电子邮件7.73亿条记录,数据来源云服务MEGA上。https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  3. 俄克拉荷马州证券部服务器配置错误导致3TB数据文档泄露,数据包括FBI数据,银行交易、证券交易、邮件等。https://www.upguard.com/breaches/rsync-oklahoma-securities-commission
  4. VOIPO大量数据泄露,有670万个文档包含呼叫日志,包括部分原始号码,部分目的地号码,时间戳和呼叫持续时间详细信息。https://rainbowtabl.es/2019/01/15/voipo-data-leak/

技术分析

  1. Check Point技术分析无文件GandCrab勒索木马病毒。https://blog.checkpoint.com/2019/01/18/check-point-forensic-files-gandcrab-returns-with-friends-trojans/。https://blog.checkpoint.com/2018/12/17/fileless-gandcrab-sandblast-agent-malware-behavioral-guard/
  2. 火眼分析Ryuk恶意勒索病毒。https://www.fireeye.com/blog/threat-research/2019/01/a-nasty-trick-from-credential-theft-malware-to-business-disruption.html
  3. 利用telegram作为C2的攻击活动。https://www.forcepoint.com/blog/security-labs/tapping-telegram-bots
  4. Shamoon新引入了具有擦除功能的新恶意软件Trojan.Filerase。https://www.symantec.com/connect/ja/blogs/shamoon-7

攻击工具套件

  1. rapid7发布Metasploit 5.0,改进挺多。https://github.com/rapid7/metasploit-framework/wiki/Metasploit-5.0-Release-Notes
  2. 鱼叉攻击组件绕过office365。https://www.avanan.com/resources/zwasp-microsoft-office-365-phishing-vulnerability
  3. Fallout漏洞利用工具再次升级,内嵌FALSH 0DAY!Fallout漏洞工具包被提供从勒索软件到后门的恶意软件系列功能,近期更新后,支持https、新的登录界面、增加Flash 0day(CVE-2018-15982)、powershell更新。https://blog.malwarebytes.com/threat-analysis/2019/01/improved-fallout-ek-comes-back-after-short-hiatus/

工控安全:

  1. 趋势科技称已发现用于工业应用的无线电遥控器极易受到网络攻击。攻击者可以利用这些控制器远程控制起重机,钻机和采矿机械等机器https://documents.trendmicro.com/assets/white_papers/wp-a-security-analysis-of-radio-remote-controllers.pdf
  2. 针对IoT应用程序Oracle Java Card更新,Oracle的Java Card平台为智能卡和有限内存设备应用程序提供安全性,增加了对3.1版物联网的支持。https://www.infoworld.com/article/3333652/java/oracle-java-card-updated-for-iot-applications.html

其他新闻及报告

  1. 美DOD一份报告,报告显示器内部网络风险,以及需要加强的保护地方。https://media.defense.gov/2019/Jan/11/2002078551/-1/-1/1/DODIG-2019-044.PDF
  2. 美国司法部正在准备起诉华为。涉嫌窃取美国商业伙伴的商业机密,包括T-Mobile美国公司用于测试智能手机的技术。https://www.wsj.com/articles/federal-prosecutors-pursuing-criminal-case-against-huawei-for-alleged-theft-of-trade-secrets-11547670341?mod=hp_lead_pos1
  3. 伊朗的第一黑客论坛Ashiyane的兴衰:https://www.recordedfuture.com/ashiyane-forum-history/
  4. recordedfuture分析攻击活动,包含兔子和北极熊https://www.recordedfuture.com/top-podcasts-2018/
  5. 外媒称,APT10有可能在2016年攻击了日本经济组织--日本商业联合会Keidanren。https://www.scmp.com/news/asia/east-asia/article/2181902/hackers-china-probably-attacked-japan-business-lobby-2016
  6. 一个网络基础重复的疑似'兔子'的攻击活动https://medium.com/@Sebdraven/goblin-panda-changes-the-dropper-and-reused-the-old-infrastructure-a35915f3e37a
  7. Ryuk可能来源于俄罗斯https://www.zdnet.com/article/ryuk-ransomware-gang-probably-russian-not-north-korean/
  8. Pdfhelp@india.com Pdff勒索软件清除指南。https://malwaretips.com/blogs/remove-pdfhelp-india-com-pdff/

发表评论

电子邮件地址不会被公开。 必填项已用*标注