| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-1975] 作者: 对不起 发表于: [2018-09-26]
本文共 [555] 位读者顶过
思科Talos和ReversingLabs发现了一个新的垃圾邮件活动,该活动针对三大桌面操作系统(Linux,Windows和Mac OSX)分发Adwind 3.0远程访问工具(RAT)。攻击活动于2018年8月26日开始,在8月28日达到顶峰。恶意软件有两种投放程序,使用.csv或.xlt为扩展名。Adwind RAT是一个多平台RAT,有多种配置,攻击者利用此RAT能够对受害者执行任何类型的命令,记录键盘操作、截取屏幕截图、拍照或传输文件等。75%的受害者来自土耳其,还有一部分来自德国,垃圾邮件使用土耳其语,且德国有一个重要的土耳其社区,表明垃圾邮件针对土耳其。恶意软件投放程序使用DDE变体,可以大大降低基于签名的防病毒软件的检测。[出自:jiwo.org]
https://blog.talosintelligence.c ... d-dodgesav-dde.html
2 GandCrab v5使用随机扩展名和HTML赎金票据
GandCrab v5发生了一些变化,加密文件后使用随机的5个字符作为扩展名,并且使用新的HTML赎金票据文档。GandCrab之前的版本使用漏洞利用工具包分发勒索软件,但是这些漏洞利用包没有用来分发GandCrab v5,目前还不清楚GandCrab v5是如何传播的。GandCrab v5执行时扫描所有的网络共享寻找目标文件进行加密。加密后附加一个随机的5个字符的扩展名。在加密文件时,勒索软件还会创建名为 [extension] -DECRYPT.html的赎金票据。此赎金说明包含如何访问TOR支付网站的说明,用户需要访问TOR支付网站获取支付信息。目前还没有解密GandCrab v5的方法。
https://www.bleepingcomputer.com ... w-html-ransom-note/
3 安全厂商发布MITM恶意软件iTranslator分析报告
FortiGuard Labs研究人员捕获了恶意软件样本,一个由无效证书签名的EXE文件。一旦用户打开exe文件,它就会安装两个驱动程序来控制受害者的Windows系统,并监视受害者Web浏览器的Internet活动。itranslator_02.exe也称itransppa.exe、itranslator20041_se.exe、Setup.exe和itransVes.exe,由2015年5月16日到期的数字证书签署。运行itranslator_02.exe时,它会在program-data文件夹中创建一个名为itranslator的新文件夹,将名为wintrans.exe的新文件提取到此文件夹中。wintrans.exe运行后在受害者的Windows系统中安装其他恶意组件,并且将受害者的系统信息发送给攻击者的服务器。
https://www.fortinet.com/blog/th ... re-itranslator.html
4 研究人员发现macOS Mojave中的隐私绕过漏洞
Apple Mojave发布当日,研究人员指出其存在隐私绕过漏洞。研究人员提供了一分钟视频显示了如何破坏Mac操作系统,绕过隐私控制并允许访问用户敏感数据(如地址簿中信息),并表示零日漏洞源于Apple实施各种隐私相关数据保护的方式。macOS Mojave为保护用户数据,要求用户授权应用访问位置服务、联系人、日历、提醒、照片以及其他私人信息和文件,但攻击者可以使用没有任何特权的应用来利用零日漏洞。
https://www.zdnet.com/article/ma ... he-day-of-download/
5 思科修补了VSM中可获取root访问权限的关键漏洞
思科修复了视频监控管理器软件中的一个关键漏洞,该漏洞可以使未经身份验证的远程攻击者能够在目标系统上以root身份执行任意命令。此漏洞的存在是因为在思科在易受攻击的平台上安装软件之前未禁用受影响软件的root帐户,并且该帐户存在默认的静态用户凭据。该漏洞影响Cisco Video Surveillance Manager(VSM)软件版本7.10,7.11和7.11.1且仅影响预装软件的系统。思科表示尚未发现利用该漏洞的攻击。
https://securityaffairs.co/wordp ... e-manager-flaw.html
6 云计算公司Zoho域名被禁两小时影响3000万用户
著名云计算科技公司、印度软件服务商Zoho的域名(zoho.com)在今天被关闭了长达两个小时,影响了Zoho旗下的3000多万用户,用户打开的是完全空白的页面。域名注册机构TierraNet以垃圾钓鱼邮件问题为由禁止了Zoho公司域名。Zoho表示TierraNet的单方面行为影响了其价值数百万美金的在线业务。Zoho公司最近两个月总共接到了3起钓鱼邮件投诉,其中2起已经处理,另一起正在定位解决。
https://blog.talosintelligence.c ... d-dodgesav-dde.html
2 GandCrab v5使用随机扩展名和HTML赎金票据
GandCrab v5发生了一些变化,加密文件后使用随机的5个字符作为扩展名,并且使用新的HTML赎金票据文档。GandCrab之前的版本使用漏洞利用工具包分发勒索软件,但是这些漏洞利用包没有用来分发GandCrab v5,目前还不清楚GandCrab v5是如何传播的。GandCrab v5执行时扫描所有的网络共享寻找目标文件进行加密。加密后附加一个随机的5个字符的扩展名。在加密文件时,勒索软件还会创建名为 [extension] -DECRYPT.html的赎金票据。此赎金说明包含如何访问TOR支付网站的说明,用户需要访问TOR支付网站获取支付信息。目前还没有解密GandCrab v5的方法。
https://www.bleepingcomputer.com ... w-html-ransom-note/
3 安全厂商发布MITM恶意软件iTranslator分析报告
FortiGuard Labs研究人员捕获了恶意软件样本,一个由无效证书签名的EXE文件。一旦用户打开exe文件,它就会安装两个驱动程序来控制受害者的Windows系统,并监视受害者Web浏览器的Internet活动。itranslator_02.exe也称itransppa.exe、itranslator20041_se.exe、Setup.exe和itransVes.exe,由2015年5月16日到期的数字证书签署。运行itranslator_02.exe时,它会在program-data文件夹中创建一个名为itranslator的新文件夹,将名为wintrans.exe的新文件提取到此文件夹中。wintrans.exe运行后在受害者的Windows系统中安装其他恶意组件,并且将受害者的系统信息发送给攻击者的服务器。
https://www.fortinet.com/blog/th ... re-itranslator.html
4 研究人员发现macOS Mojave中的隐私绕过漏洞
Apple Mojave发布当日,研究人员指出其存在隐私绕过漏洞。研究人员提供了一分钟视频显示了如何破坏Mac操作系统,绕过隐私控制并允许访问用户敏感数据(如地址簿中信息),并表示零日漏洞源于Apple实施各种隐私相关数据保护的方式。macOS Mojave为保护用户数据,要求用户授权应用访问位置服务、联系人、日历、提醒、照片以及其他私人信息和文件,但攻击者可以使用没有任何特权的应用来利用零日漏洞。
https://www.zdnet.com/article/ma ... he-day-of-download/
5 思科修补了VSM中可获取root访问权限的关键漏洞
思科修复了视频监控管理器软件中的一个关键漏洞,该漏洞可以使未经身份验证的远程攻击者能够在目标系统上以root身份执行任意命令。此漏洞的存在是因为在思科在易受攻击的平台上安装软件之前未禁用受影响软件的root帐户,并且该帐户存在默认的静态用户凭据。该漏洞影响Cisco Video Surveillance Manager(VSM)软件版本7.10,7.11和7.11.1且仅影响预装软件的系统。思科表示尚未发现利用该漏洞的攻击。
https://securityaffairs.co/wordp ... e-manager-flaw.html
6 云计算公司Zoho域名被禁两小时影响3000万用户
著名云计算科技公司、印度软件服务商Zoho的域名(zoho.com)在今天被关闭了长达两个小时,影响了Zoho旗下的3000多万用户,用户打开的是完全空白的页面。域名注册机构TierraNet以垃圾钓鱼邮件问题为由禁止了Zoho公司域名。Zoho表示TierraNet的单方面行为影响了其价值数百万美金的在线业务。Zoho公司最近两个月总共接到了3起钓鱼邮件投诉,其中2起已经处理,另一起正在定位解决。
