《维他命》每日安全简讯20181012
发布时间 2018-10-12
1、卡巴斯基发布关于Windows 0day(CVE-2018-8453)的更多技术细节
https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
2、研究团队发现NotPetya和Industroyer与犯罪团伙TeleBots存在关联
ESET研究团队发现恶意软件NotPetya和后门Industroyer与犯罪团伙TeleBots存在关联。这两个恶意软件都被用于攻击乌克兰的目标。研究团队通过分析TeleBots使用的新后门Win32/Exaramel确认了这些联系,在这之前研究团队只能猜测它们的关联。新的证据表明,Exaramel和Industroyer之间具有很强的代码相似性和行为,这意味着它们来自于同一开发者。
3、研究团队总结过去四年内在荷兰活跃的APT组织
https://securelist.com/threats-in-the-netherlands/88185/
4、McAfee发布关于勒索软件GandCrab v5.0.2的分析报告
McAfee Labs发布关于勒索软件GandCrab v5的分析报告,本月初GandCrab已经更新至版本5.0.2。从版本4开始,GandCrab开始通过Fallout EK进行分发;在版本5中,GandCrab又与恶意软件加密服务NTCrypt进行合作。NTCrypt可以为恶意软件提供混淆以逃避检测。这种与其它恶意软件进行结盟的行为使得其攻击活动的运营更加便利,并且可靠的联盟可以避免不受信任的供应商和分销商,从而最大限度地降低风险。
5、Talos团队发现主要针对Android的新木马GPlayed
思科Talos发现主要针对Android平台的新特洛伊木马GPlayed。GPlayed具有许多内置功能,并且非常灵活,攻击者可以远程加载插件、注入脚本甚至编译新的.NET代码。研究团队发现的恶意样本使用了类似于Google Apps的图标,伪装成Google Play Marketplace以欺骗用户。该恶意软件是在Xamarin环境下用.NET编写的,其主DLL是Reznov.DLL,该DLL中包含木马的核心根类eClient。该样本主要针对俄语用户,分析表明该木马还处于测试阶段。
6、南非托管服务商Hetzner一年内第二次遭黑客入侵
南非网络托管服务商Hetzner在过去12个月内第二次遭到黑客入侵。入侵发生在10月5日星期五,攻击者设法访问了部分用户的信息,包括姓名、电子邮件地址、电话号码、地址、身份号码、增值税号码以及银行账号等,但没有任何支付信息和密码信息泄露。上一次黑客入侵发生在2017年11月,约4万名用户的信息被窃,但该公司没有透露第二次攻击的影响范围。
声明:本资讯由启明星辰维他命安全小组翻译和整理
卡巴斯基实验室于2018年8月17日向微软报告了Windows 0day(CVE-2018-8453),该漏洞已在微软的10月安全更新中得到修复。该漏洞主要被APT组织FruityArmor所使用,用来攻击中东地区的目标。其攻击活动是高度针对性的,受害者的数量不超过12个。研究团队逆向了捕获到的漏洞利用样本,并将其重写为完整的PoC。
https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
2、研究团队发现NotPetya和Industroyer与犯罪团伙TeleBots存在关联
ESET研究团队发现恶意软件NotPetya和后门Industroyer与犯罪团伙TeleBots存在关联。这两个恶意软件都被用于攻击乌克兰的目标。研究团队通过分析TeleBots使用的新后门Win32/Exaramel确认了这些联系,在这之前研究团队只能猜测它们的关联。新的证据表明,Exaramel和Industroyer之间具有很强的代码相似性和行为,这意味着它们来自于同一开发者。
原文链接:
https://www.bleepingcomputer.com/news/security/new-backdoor-ties-notpetya-and-industroyer-to-telebots-group/3、研究团队总结过去四年内在荷兰活跃的APT组织
卡巴斯基实验室发布关于荷兰的活跃APT组织的综述,该综述通过总结过去四年内(2014年9月至2018年9月)荷兰的高级网络威胁活动,概述了荷兰的APT组织及其活跃时间、主要针对的目标等信息。这些APT组织包括BlackOasis、Sofacy、Hades、Buhtrap、The Lamberts、Turla、Gatak、Putter Panda和Animal Farm。
https://securelist.com/threats-in-the-netherlands/88185/
4、McAfee发布关于勒索软件GandCrab v5.0.2的分析报告
McAfee Labs发布关于勒索软件GandCrab v5的分析报告,本月初GandCrab已经更新至版本5.0.2。从版本4开始,GandCrab开始通过Fallout EK进行分发;在版本5中,GandCrab又与恶意软件加密服务NTCrypt进行合作。NTCrypt可以为恶意软件提供混淆以逃避检测。这种与其它恶意软件进行结盟的行为使得其攻击活动的运营更加便利,并且可靠的联盟可以避免不受信任的供应商和分销商,从而最大限度地降低风险。
原文链接:
https://securingtomorrow.mcafee.com/mcafee-labs/rapidly-evolving-ransomware-gandcrab-version-5-partners-with-crypter-service-for-obfuscation/5、Talos团队发现主要针对Android的新木马GPlayed
思科Talos发现主要针对Android平台的新特洛伊木马GPlayed。GPlayed具有许多内置功能,并且非常灵活,攻击者可以远程加载插件、注入脚本甚至编译新的.NET代码。研究团队发现的恶意样本使用了类似于Google Apps的图标,伪装成Google Play Marketplace以欺骗用户。该恶意软件是在Xamarin环境下用.NET编写的,其主DLL是Reznov.DLL,该DLL中包含木马的核心根类eClient。该样本主要针对俄语用户,分析表明该木马还处于测试阶段。
原文链接:
https://blog.talosintelligence.com/2018/10/gplayedtrojan.html6、南非托管服务商Hetzner一年内第二次遭黑客入侵
南非网络托管服务商Hetzner在过去12个月内第二次遭到黑客入侵。入侵发生在10月5日星期五,攻击者设法访问了部分用户的信息,包括姓名、电子邮件地址、电话号码、地址、身份号码、增值税号码以及银行账号等,但没有任何支付信息和密码信息泄露。上一次黑客入侵发生在2017年11月,约4万名用户的信息被窃,但该公司没有透露第二次攻击的影响范围。
原文链接:
https://www.zdnet.com/article/hackers-breach-web-hosting-provider-for-the-second-time-in-the-past-year/声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号