| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-1956] 作者: 对不起 发表于: [2018-09-19]
本文共 [510] 位读者顶过
基于ISC发布的分析文章,360发布MHT恶意文档投递及免杀研究报告。MHT文档又称为聚合HTML文档、Web档案或单一文件网页。攻击者有时使用MHT文档作为载体发起鱼叉和水坑攻击。APT32在2017年的攻击中曾使用MHT恶意文档作为载体,该文档内包含恶意的VBA代码。受害者一旦打开文档,恶意VBA代码将得到执行。从结构上来讲,MHT文件是由multipart组成的,每个multipart可使用base64进行编码。针对这个特性,恶意代码或者链接进行拆分绕过杀软检测。研究人员指出MHT格式的恶意文档有增多的趋势。[出自:jiwo.org]
https://cert.360.cn/warning/deta ... b8df1c823a28a2fea51
2 黑客向印度政府网站投放恶意软件进行挖矿
研究人员发现大量印度政府网站已经感染了加密货币挖掘恶意软件,旨在获取用户的的计算能力挖掘加密货币。受影响的网站正在运行CoinHive脚本,该脚本时挖矿软件Monero使用的。除了受影响的政府域名外,还有119个印度网站也被发现为运行CoinHive脚本。黑客从脚本中挖掘出多少加密货币尚未公开,但是截至发文的前一天挖矿活动依然在继续。
https://thenextweb.com/hardfork/ ... ocurrency-coinhive/
3 攻击者冒充IRS向非美国居民发送收税钓鱼邮件
研究人员发现攻击者冒充IRS(美国国税局)向美国非居民的外国人发送钓鱼邮件,邮件以税收支撑为主题,提供了一个伪装成正式文件的“W-8BEN Form.PDF”表格,该表格用来证明自己是非居民外国人或外国公司,从而免除或减少美国来源收入的预扣税。该表格不包含任何可执行文件,但是用户填写并提交表格就会暴露自己的个人信息。所有网络钓鱼电子邮件都包含语法问题和拼写错误,表明攻击者十分粗心大意,或者英语不是他们的第一语言。收到钓鱼邮件的人来自:奥地利、捷克、丹麦、德国、印度、印度尼西亚、意大利、日本、韩国、中国台湾以及美国。研究人员表示该网络钓鱼活动是从一个来自意大利的服务器发送的。
https://www.fortinet.com/blog/th ... e-from-the-irs.html
4 伊朗黑客窃取英国顶尖学术研究机构文件出售
来自伊朗的黑客从英国大学顶尖的学术研究机构(包括牛津和剑桥)窃取了海量文件并在网上销售,文件涉及核电厂和网络安全防御等领域的敏感信息。黑客向工作人员和学生发送电子邮件,假装是在线学术数据库的密码重置提醒,重置密码时需要填写用户名和密码,这将发送到攻击者。攻击者就会利用这些凭据登录学术数据库下载文件并在网上售卖。黑客称攻击出于政治原因,美国政府试图孤立德黑兰政权。
https://www.telegraph.co.uk/tech ... itish-universities/
Iranian hackers selling stolen academic research from top British universities online.pdf
5 Nuuo软件零日漏洞可能影响全球数十万台设备
研究人员发现使用Nuuo软件的安全摄像头和监控设备中存在的零日漏洞CVE-2018-1149。Nuuo可信视频管理软件的提供商,为运输,银行、政府和住宅区等行业的监控系统提供一系列视频解决方案。攻击者可以利用该漏洞远程执行软件中的代码,查看和篡改视频监控录制和发送,还可以窃取数据,包括凭据、IP地址、端口使用以及连接的监控设备的品牌和型号。研究人员表示该漏洞可能影响全球数十万个基于网络的摄像头和设备,Nuuo固件版本3.9.0及更早版本容易受到攻击。
https://www.zdnet.com/article/ha ... -day-vulnerability/
6 CCleaner强制用户更新到最新版本并获取信息
有报道称,即使用户已将程序配置为禁止自动更新,Piriform也会强制将CCleaner更新到最新的5.46版本。一旦用户升级到最新版本,他们的隐私设置将恢复为默认设置,并且在用户不知道的情况下将数据发送到Avast / Piriform。如果用户想要禁用自动更新,需找到C:\ Program Files \ CCleaner \ CCupdate.exe可执行文件并将其删除。
https://cert.360.cn/warning/deta ... b8df1c823a28a2fea51
2 黑客向印度政府网站投放恶意软件进行挖矿
研究人员发现大量印度政府网站已经感染了加密货币挖掘恶意软件,旨在获取用户的的计算能力挖掘加密货币。受影响的网站正在运行CoinHive脚本,该脚本时挖矿软件Monero使用的。除了受影响的政府域名外,还有119个印度网站也被发现为运行CoinHive脚本。黑客从脚本中挖掘出多少加密货币尚未公开,但是截至发文的前一天挖矿活动依然在继续。
https://thenextweb.com/hardfork/ ... ocurrency-coinhive/
3 攻击者冒充IRS向非美国居民发送收税钓鱼邮件
研究人员发现攻击者冒充IRS(美国国税局)向美国非居民的外国人发送钓鱼邮件,邮件以税收支撑为主题,提供了一个伪装成正式文件的“W-8BEN Form.PDF”表格,该表格用来证明自己是非居民外国人或外国公司,从而免除或减少美国来源收入的预扣税。该表格不包含任何可执行文件,但是用户填写并提交表格就会暴露自己的个人信息。所有网络钓鱼电子邮件都包含语法问题和拼写错误,表明攻击者十分粗心大意,或者英语不是他们的第一语言。收到钓鱼邮件的人来自:奥地利、捷克、丹麦、德国、印度、印度尼西亚、意大利、日本、韩国、中国台湾以及美国。研究人员表示该网络钓鱼活动是从一个来自意大利的服务器发送的。
https://www.fortinet.com/blog/th ... e-from-the-irs.html
4 伊朗黑客窃取英国顶尖学术研究机构文件出售
来自伊朗的黑客从英国大学顶尖的学术研究机构(包括牛津和剑桥)窃取了海量文件并在网上销售,文件涉及核电厂和网络安全防御等领域的敏感信息。黑客向工作人员和学生发送电子邮件,假装是在线学术数据库的密码重置提醒,重置密码时需要填写用户名和密码,这将发送到攻击者。攻击者就会利用这些凭据登录学术数据库下载文件并在网上售卖。黑客称攻击出于政治原因,美国政府试图孤立德黑兰政权。
https://www.telegraph.co.uk/tech ... itish-universities/
Iranian hackers selling stolen academic research from top British universities online.pdf 5 Nuuo软件零日漏洞可能影响全球数十万台设备
研究人员发现使用Nuuo软件的安全摄像头和监控设备中存在的零日漏洞CVE-2018-1149。Nuuo可信视频管理软件的提供商,为运输,银行、政府和住宅区等行业的监控系统提供一系列视频解决方案。攻击者可以利用该漏洞远程执行软件中的代码,查看和篡改视频监控录制和发送,还可以窃取数据,包括凭据、IP地址、端口使用以及连接的监控设备的品牌和型号。研究人员表示该漏洞可能影响全球数十万个基于网络的摄像头和设备,Nuuo固件版本3.9.0及更早版本容易受到攻击。
https://www.zdnet.com/article/ha ... -day-vulnerability/
6 CCleaner强制用户更新到最新版本并获取信息
有报道称,即使用户已将程序配置为禁止自动更新,Piriform也会强制将CCleaner更新到最新的5.46版本。一旦用户升级到最新版本,他们的隐私设置将恢复为默认设置,并且在用户不知道的情况下将数据发送到Avast / Piriform。如果用户想要禁用自动更新,需找到C:\ Program Files \ CCleaner \ CCupdate.exe可执行文件并将其删除。
