标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-2082] 作者: 对不起 发表于: [2018-10-24]
本文共 [426] 位读者顶过
腾讯御见威胁情报中心在2018年8月发现了新版本的SYSCON后门。该后门归因于APT组织DarkHotel,从2017年下半年开始活跃,最早可以追溯到2012年,专门针对朝鲜半岛问题相关的政治人物的特种木马。研究人员对该后门进行了长期跟踪,发现其一直以来使用FTP协议进行C&C通信,并且有很强的躲避技术和绕UAC技术。而最新版本的后门采用了多阶段执行、云控、绕最新UAC等技术,使得攻击更加的隐蔽和难以发现。本次攻击采用鱼叉攻击,诱使受害者启动恶意宏来查看字体非常浅的文档,使用的大部分代码放到云端,VBA脚本中仅保留简单少量的代码,从云上下载并执行1.bat文件,实现木马的安装。使用Base64加密的ini文件来控制C&C地址。新版本的SYSCON进行了密钥更新,但核心功能代码并未改变。从攻击细节、密钥和宏代码等相同点,研究人员分析认为KONNI和Inexsmar后门存在关联性。该木马暂未发现活跃在中国境内。[出自:jiwo.org]
http://www.freebuf.com/articles/network/187067.html 2 “外挂幽灵”团伙传播双枪和紫狐两大病毒家族 近期腾讯安全御见情报中心监控发现,“外挂幽灵“团伙持续活跃,该团伙主要通过七哥辅助网、我爱辅助网等多个游戏辅助工具(外挂)中被捆绑多个恶意程序,主要包括锁主页程序、“双枪”病毒家族和”紫狐“木马家族等等,两个病毒家族影响了全国数以万计的电脑,全国各个省份均有发现,其中山东、广东、河南的中毒电脑数量位居全国前三。用户在外挂网站下载有问题的游戏辅助工具并运行后,使用自动化工具提取捆绑在.exe中的多个PE文件,默认下载其它应用,以传播木马。研究人员发现该团伙长期通过不同方式间接或直接地传播”双枪”和“紫狐”木马,由此可见木马与“外挂幽灵”之间的存在密切联系。 https://mp.weixin.qq.com/s/EyzMIjEDO2OJWyaI-3gqOw 3 新发布的Branch.io补丁导致另一个新XSS漏洞 Branch.io最近发布的基于DOM的跨站点脚本XSS漏洞的补丁又引入了另一个类似漏洞。Branch.io位于加利福尼亚州,为客户提供领先的移动链接服务的解决方案公司。Detectify安全研究员LinusSärud透露,该漏洞可能在之前发现并临时被修复,而现在发现攻击者可以通过使用载荷继续实现对这个漏洞的利用。Särud在为了重定向到移动应用程序的页面上发现了最初的漏洞,易受攻击的文件会针对黑名单检查重定向参数,如果未找到则继续重定向,在发现可以使用空协议绕过黑名单之后,找到了该漏洞。Särud称当第一个vpnMentor发现的漏洞已经解决之后,初始载荷仍然有效,即使第二个漏洞的修复也容易会受到第三个反映在服务器端的URL漏洞的攻击。 https://securityaffairs.co/wordp ... -io-xss-flaw-2.html 4 Windows10 中Zip提取功能错误会自动覆盖文件 Windows 10在10月进行了更新,也称为Build 1809,Windows内置zip功能中,存在提取zip文件的新错误。当用户解压缩zip存档或将文件从zip存档拖动到存在相同文件的位置时,Windows将不会显示提示信息,相反,它会自动覆盖文件或者没有反应。根据目前Windows 10 19H1版本的测试和一些使用build 18234的用户称,该错误已被修复。 https://www.bleepingcomputer.com ... thout-confirmation/ 5 新的NFCdrip攻击可从物理隔离系统中窃取数据 新的研究表明,称为NFCdrip攻击的技术可以利用近场通信(NFC)协议从通信设备中窃取有价值的数据,包括窃取密码和加密密钥,这些数据的范围可达10米。应用安全公司Checkmarx的高级研究员Pedro Umbelino使用几个物理隔离系统进行了实际操作,使用最简单的幅度调制方法开关键控(OOK)来调整NFC操作模式的数据,使攻击者可以轻松访问恶意应用程序,最终可能通过NFC频率窃取数据。尽管随着距离的增加,误差的数量增加,但LeClair表示可以通过使用AM天线或软件无线电(SDR)加密器来扩展数据传输范围。研究人员发现,这种攻击在具有Wi-Fi,蓝牙和GSM禁用等通信系统的设备上非常高效。 https://cyware.com/news/new-nfcd ... ed-systems-7148b98c 6 黑客袭击了沙特投资峰会未来投资计划的FII网站 在为期三天的沙特投资峰会开始前一天,未知黑客破坏了沙特投资峰会未来投资计划(FII)的网站。袭击者显然是出于政治动机,他们在被破坏的网站上污蔑沙特阿拉伯以及沙特王国在也门战争中的角色,还指责政府资助恐怖主义。黑客还通过主页,泄露了几个沙特人的姓名和电话号码,包括政府和政府支持公司的雇员。该论坛绰号为“沙漠中的达沃斯”,旨在将历史上孤立的石油国家列为一个有利可图的商业目的地,并为新的企业和数十亿美元的合同奠定基础。FII的组织者删除了该网站。 |