| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-2073] 作者: 对不起 发表于: [2018-10-23]
本文共 [285] 位读者顶过
微步在线在8月份起检测到越南黑客组织APT32(又称海莲花)多起攻击活动。针对中国、韩国、美国和柬埔寨等国金融、政府和体育等行业相关目标进行定向攻击,攻击平台包含Windows和macOS,攻击手法相比之前变化不大,其中针对Windows平台的攻击主要利用包含CVE-2017-11882漏洞的doc文档,诱饵文档内容都是模糊图片,结合白加黑利用和图标伪装为Word的RAR自解压文件,部分利用了Regsvr32.exe加载执行OCX可执行文件,来投递其特种木马Denis,针对macOS平台的亦同样是将macOS应用程序伪装为Word文档,释放后门程序mouseevents,其核心功能是接受C2控制执行各种操作,具体包含上传下载和删除文件、执行shell命令等,其Dropper和Payload新加了壳和虚拟机检测。[出自:jiwo.org]
http://www.freebuf.com/articles/network/186493.html
2 微软新添加的SettingContent-ms文件已被滥用
SettingContent-ms是Microsoft软件的最新添加的XML文件,在win10中引入,包含Windows函数的设置内容,例如用于打开特定文件类型的更新进程和默认应用程序,最常见的用途是作为打开旧Windows控制面板的快捷方式。该文件最近成为多攻击活动滥用对象,7月份一个针对亚洲和欧洲银行的垃圾邮件活动中,使用嵌入在PDF中的恶意SettingContent-ms文件来删除远程访问木马FlawedAmmyy。一些概念验证(PoC)研究表明,可以通过将DeepLink标签下的命令行替换为恶意内容来实现滥用,DeepLink标签下的恶意命令行能够执行PowerShell脚本以从恶意网站下载和执行载荷。2018年8月,微软发布了一个补丁来解决这个问题CVE-2018-8414。
https://blog.trendmicro.com/tren ... icon-based-payload/
3 研究人员发现多种NAS系列设备中存在0day漏洞
WizCase的安全研究人员Paulos Yibelo和Daniel Eshetu通过测试四个流行的NAS设备WD My Book,NetGear Stora,SeaGate Home和Medion LifeCloud NAS,发现都存在未经身份验证的根远程命令执行(preauth RCE)的0day漏洞。漏洞ID为CVE-2018-18472 和CVE-2018-18471。NAS设备已成为许多中小型企业(SMB)的首选存储设备。这些漏洞允许黑客,政府或任何有恶意的人阅读文件,添加、删除用户,添加、修改现有数据或在所有设备上执行具有最高权限的命令。研究人员认为还有许多其它NAS设备存在类似漏洞,因为NAS设备似乎缺少预期的模式,目前有近200万受影响的设备在线。在报告发布时,这两个漏洞仍未被修补。
https://www.wizcase.com/blog/hack-2018/
4 Splunk修复产品Enterprise和Light中存在的漏洞
Splunk最近修复了Enterprise和Light产品中存在的漏洞。Splunk是提供解决方案的软件公司。包括如下漏洞:CVE-2018-7427,为Web界面中的高严重性跨站点脚本(XSS)缺陷;DoS漏洞CVE-2018-7432和CVE-2018-7429,攻击者可以通过发送到Splunkd的恶意HTTP请求进行利用;路径遍历漏洞CVE-2018-7431,允许经过身份验证的攻击者从供应商Django应用程序下载任意文件。Splunk建议用户升级到最新版本。
https://securityaffairs.co/wordp ... ulnerabilities.html
5 黑客攻击HealthCare政府系统获取75000人数据
美国医疗保险和医疗补助服务中心的官员称,本月初一个与HealthCare.gov网站交互的政府计算机系统遭到黑客攻击,导致大约75000人的个人敏感数据受到影响,包括社会保险号、收入、公民身份或合法移民身份。被黑客攻击的系统用于保险代理和经销商直接注册客户,目前已经关闭,技术人员正在努力恢复系统,预计在11月1日前恢复系统,以便正常进行《合理医疗费用法案》的医疗保险注册的工作。
https://www.securityweek.com/hac ... stem-get-data-75000
6 GandCrab开发者为叙利亚受害者发布了解密密钥
在一篇关于地下黑客和网络犯罪论坛的帖子中,GandCrab开发者已经为叙利亚受害者发布了解密密钥。密钥的发布是对一个叙利亚受害者在他已故儿童的照片被加密后寻求帮助推文的回应。GandCrab开发者在一个论坛上发布了针对于上述情况的所有被的加密叙利亚受害者的密钥。密钥包含在帖子链接到的zip文件中,zip文件包含readme.txt和SY_keys.txt。 readme.txt文件内容为俄语,包含有关密钥文件组织方式的信息以及有关密钥发布原因的信息。SY_keys.txt文件包含978个叙利亚受害者、版本1.0.0r到5.0解密密钥列表,每行包含受害者ID,版本和密钥。 他们表示,加密的为受害者本身的信息时将不会免费发布密钥,叙利亚没有在GandCrab不加密的国家最初名单中,但他们没有表示今后是否会加入这份名单。
http://www.freebuf.com/articles/network/186493.html
2 微软新添加的SettingContent-ms文件已被滥用
SettingContent-ms是Microsoft软件的最新添加的XML文件,在win10中引入,包含Windows函数的设置内容,例如用于打开特定文件类型的更新进程和默认应用程序,最常见的用途是作为打开旧Windows控制面板的快捷方式。该文件最近成为多攻击活动滥用对象,7月份一个针对亚洲和欧洲银行的垃圾邮件活动中,使用嵌入在PDF中的恶意SettingContent-ms文件来删除远程访问木马FlawedAmmyy。一些概念验证(PoC)研究表明,可以通过将DeepLink标签下的命令行替换为恶意内容来实现滥用,DeepLink标签下的恶意命令行能够执行PowerShell脚本以从恶意网站下载和执行载荷。2018年8月,微软发布了一个补丁来解决这个问题CVE-2018-8414。
https://blog.trendmicro.com/tren ... icon-based-payload/
3 研究人员发现多种NAS系列设备中存在0day漏洞
WizCase的安全研究人员Paulos Yibelo和Daniel Eshetu通过测试四个流行的NAS设备WD My Book,NetGear Stora,SeaGate Home和Medion LifeCloud NAS,发现都存在未经身份验证的根远程命令执行(preauth RCE)的0day漏洞。漏洞ID为CVE-2018-18472 和CVE-2018-18471。NAS设备已成为许多中小型企业(SMB)的首选存储设备。这些漏洞允许黑客,政府或任何有恶意的人阅读文件,添加、删除用户,添加、修改现有数据或在所有设备上执行具有最高权限的命令。研究人员认为还有许多其它NAS设备存在类似漏洞,因为NAS设备似乎缺少预期的模式,目前有近200万受影响的设备在线。在报告发布时,这两个漏洞仍未被修补。
https://www.wizcase.com/blog/hack-2018/
4 Splunk修复产品Enterprise和Light中存在的漏洞
Splunk最近修复了Enterprise和Light产品中存在的漏洞。Splunk是提供解决方案的软件公司。包括如下漏洞:CVE-2018-7427,为Web界面中的高严重性跨站点脚本(XSS)缺陷;DoS漏洞CVE-2018-7432和CVE-2018-7429,攻击者可以通过发送到Splunkd的恶意HTTP请求进行利用;路径遍历漏洞CVE-2018-7431,允许经过身份验证的攻击者从供应商Django应用程序下载任意文件。Splunk建议用户升级到最新版本。
https://securityaffairs.co/wordp ... ulnerabilities.html
5 黑客攻击HealthCare政府系统获取75000人数据
美国医疗保险和医疗补助服务中心的官员称,本月初一个与HealthCare.gov网站交互的政府计算机系统遭到黑客攻击,导致大约75000人的个人敏感数据受到影响,包括社会保险号、收入、公民身份或合法移民身份。被黑客攻击的系统用于保险代理和经销商直接注册客户,目前已经关闭,技术人员正在努力恢复系统,预计在11月1日前恢复系统,以便正常进行《合理医疗费用法案》的医疗保险注册的工作。
https://www.securityweek.com/hac ... stem-get-data-75000
6 GandCrab开发者为叙利亚受害者发布了解密密钥
在一篇关于地下黑客和网络犯罪论坛的帖子中,GandCrab开发者已经为叙利亚受害者发布了解密密钥。密钥的发布是对一个叙利亚受害者在他已故儿童的照片被加密后寻求帮助推文的回应。GandCrab开发者在一个论坛上发布了针对于上述情况的所有被的加密叙利亚受害者的密钥。密钥包含在帖子链接到的zip文件中,zip文件包含readme.txt和SY_keys.txt。 readme.txt文件内容为俄语,包含有关密钥文件组织方式的信息以及有关密钥发布原因的信息。SY_keys.txt文件包含978个叙利亚受害者、版本1.0.0r到5.0解密密钥列表,每行包含受害者ID,版本和密钥。 他们表示,加密的为受害者本身的信息时将不会免费发布密钥,叙利亚没有在GandCrab不加密的国家最初名单中,但他们没有表示今后是否会加入这份名单。
