首个滥用DNS over HTTPS协议的恶意软件Godlua;Chrome V8引擎中的内存损坏漏洞,可导致RCE
发布时间 2019-07-04
1、研究人员发现首个滥用DNS over HTTPS协议的恶意软件Godlua
研究人员发现首个滥用DNS over HTTPS(DoH)协议的恶意软件Godlua,该恶意软件是一个用Lua编写的恶意软件,其作用类似于后门。攻击者利用漏洞(CVE-2019-3396)来感染Linux服务器。研究人员发现的两个Godlua样本都使用DNS over HTTPS请求来获取域名TXT,其中存储了C&C服务器的URL。这种从DNS文本记录中检索第二/第三阶段C&C服务器URL地址的技术并不新鲜,但使用DoH请求而不是传统的DNS请求为首次出现。DoH(DNS)请求对第三方观察者加密且不可见,这包括依赖被动DNS监控来阻止对已知恶意域请求的网络安全软件。
原文链接:https://www.zdnet.com/article/first-ever-malware-strain-spotted-abusing-new-doh-dns-over-https-protocol/
2、WannaLocker新变体包含三重威胁,瞄准巴西四家银行
Avast研究人员Nikolaos Chrysaidos发现手机勒索软件WannaLocker的新变体包含三重威胁,主要针对巴西的四家银行。根据Chrysaidos的调查结果,WannaLocker新变体是WannaCry的模仿者,该变体将间谍软件、RAT和银行木马捆绑在一个勒索软件包中。该变体可收集文本信息、通话记录、电话号码和信用卡信息。研究人员尚不清楚该变体入侵手机的感染向量,但怀疑它可能是通过恶意链接或第三方商店进行传播。
原文链接:https://blog.avast.com/wannalocker-targets-banks-in-brazil
3、犯罪团伙Silence Group从孟加拉国三家银行窃取300万美元
从孟加拉国银行窃取至少300万美元的攻击可能是犯罪团伙Silence Group所为。该团伙至少从2016年开始活跃,安全厂商Group-IB认为该团伙的核心是两名俄语犯罪者。5月份孟加拉国的三家私人银行(DBBL银行、NCC银行和Prime银行)遭黑客攻击,损失超过300万美元。根据相关证据,Group-IB认为该攻击事件是由Silence Group所为。Group-IB发现DBBL的主机与Silence Group的C2服务器进行通信,该通信至少从2019年2月份就已开始。
原文链接:https://www.bleepingcomputer.com/news/security/silence-group-likely-behind-recent-3m-bangladesh-bank-heist/
4、美国网络司令部发布有关利用Outlook漏洞的攻击活动的警报
美国网络司令部在Twitter上发布关于利用微软Outlook中已知漏洞的警报。该漏洞被跟踪为CVE-2017-11774,攻击者利用此漏洞在政府网络上部署恶意软件。该漏洞由SensePost安全研究人员发现,可允许攻击者绕过Outlook沙箱并在系统上运行恶意代码。APT33曾在2018年利用该漏洞向目标系统上部署恶意软件。该漏洞的修复补丁在2017年10月发布,建议还未安装补丁的用户尽快更新。
原文链接:https://cyware.com/news/us-cyber-command-issues-alert-about-attack-campaign-exploiting-outlook-vulnerability-fbcb95bf
5、研究团队披露Chrome V8引擎中的内存损坏漏洞,可导致RCE
思科Talos披露Google Chrome的V8 JavaScript引擎中的内存损坏漏洞(CVE-2019-5831),该漏洞可允许攻击者在目标系统上执行任意代码。根据Talos的表述,恶意JavaScript代码可能会在V8 7.3.492.17中触发内存损坏,导致远程代码执行。为了触发此漏洞,受害者需要访问恶意网页。该漏洞的CVSS评分为7.5,谷歌已在3月份修复了这个漏洞。
原文链接:https://blog.talosintelligence.com/2019/07/vulnerability-spotlight-Google-V8-June-19.html
6、超过30个VMware产品受到Linux SACK漏洞影响
VMware确认SACK Panic和SACK Slowness漏洞影响其多个产品。该公司已将SACK Panic评级为重要并赋予7.5的CVSS评分,SACK Slowness为中等和CVSS评分5.3。根据VMware发布的安全公告,成功利用这些漏洞可能会导致目标系统崩溃或严重降低性能。受影响的产品包括vCenter Server Appliance、vCloud、vRealize和vSphere等。VMware正在为每个受影响的产品开发补丁,但到目前为止它仅发布了SD-WAN软件、Unified Access Gateway和vCenter Server Appliance的更新。
原文链接:https://www.securityweek.com/many-vmware-products-affected-sack-linux-vulnerabilities
研究人员发现首个滥用DNS over HTTPS(DoH)协议的恶意软件Godlua,该恶意软件是一个用Lua编写的恶意软件,其作用类似于后门。攻击者利用漏洞(CVE-2019-3396)来感染Linux服务器。研究人员发现的两个Godlua样本都使用DNS over HTTPS请求来获取域名TXT,其中存储了C&C服务器的URL。这种从DNS文本记录中检索第二/第三阶段C&C服务器URL地址的技术并不新鲜,但使用DoH请求而不是传统的DNS请求为首次出现。DoH(DNS)请求对第三方观察者加密且不可见,这包括依赖被动DNS监控来阻止对已知恶意域请求的网络安全软件。
原文链接:https://www.zdnet.com/article/first-ever-malware-strain-spotted-abusing-new-doh-dns-over-https-protocol/
2、WannaLocker新变体包含三重威胁,瞄准巴西四家银行
Avast研究人员Nikolaos Chrysaidos发现手机勒索软件WannaLocker的新变体包含三重威胁,主要针对巴西的四家银行。根据Chrysaidos的调查结果,WannaLocker新变体是WannaCry的模仿者,该变体将间谍软件、RAT和银行木马捆绑在一个勒索软件包中。该变体可收集文本信息、通话记录、电话号码和信用卡信息。研究人员尚不清楚该变体入侵手机的感染向量,但怀疑它可能是通过恶意链接或第三方商店进行传播。
原文链接:https://blog.avast.com/wannalocker-targets-banks-in-brazil
3、犯罪团伙Silence Group从孟加拉国三家银行窃取300万美元
从孟加拉国银行窃取至少300万美元的攻击可能是犯罪团伙Silence Group所为。该团伙至少从2016年开始活跃,安全厂商Group-IB认为该团伙的核心是两名俄语犯罪者。5月份孟加拉国的三家私人银行(DBBL银行、NCC银行和Prime银行)遭黑客攻击,损失超过300万美元。根据相关证据,Group-IB认为该攻击事件是由Silence Group所为。Group-IB发现DBBL的主机与Silence Group的C2服务器进行通信,该通信至少从2019年2月份就已开始。
原文链接:https://www.bleepingcomputer.com/news/security/silence-group-likely-behind-recent-3m-bangladesh-bank-heist/
4、美国网络司令部发布有关利用Outlook漏洞的攻击活动的警报
美国网络司令部在Twitter上发布关于利用微软Outlook中已知漏洞的警报。该漏洞被跟踪为CVE-2017-11774,攻击者利用此漏洞在政府网络上部署恶意软件。该漏洞由SensePost安全研究人员发现,可允许攻击者绕过Outlook沙箱并在系统上运行恶意代码。APT33曾在2018年利用该漏洞向目标系统上部署恶意软件。该漏洞的修复补丁在2017年10月发布,建议还未安装补丁的用户尽快更新。
原文链接:https://cyware.com/news/us-cyber-command-issues-alert-about-attack-campaign-exploiting-outlook-vulnerability-fbcb95bf
5、研究团队披露Chrome V8引擎中的内存损坏漏洞,可导致RCE
思科Talos披露Google Chrome的V8 JavaScript引擎中的内存损坏漏洞(CVE-2019-5831),该漏洞可允许攻击者在目标系统上执行任意代码。根据Talos的表述,恶意JavaScript代码可能会在V8 7.3.492.17中触发内存损坏,导致远程代码执行。为了触发此漏洞,受害者需要访问恶意网页。该漏洞的CVSS评分为7.5,谷歌已在3月份修复了这个漏洞。
原文链接:https://blog.talosintelligence.com/2019/07/vulnerability-spotlight-Google-V8-June-19.html
6、超过30个VMware产品受到Linux SACK漏洞影响
VMware确认SACK Panic和SACK Slowness漏洞影响其多个产品。该公司已将SACK Panic评级为重要并赋予7.5的CVSS评分,SACK Slowness为中等和CVSS评分5.3。根据VMware发布的安全公告,成功利用这些漏洞可能会导致目标系统崩溃或严重降低性能。受影响的产品包括vCenter Server Appliance、vCloud、vRealize和vSphere等。VMware正在为每个受影响的产品开发补丁,但到目前为止它仅发布了SD-WAN软件、Unified Access Gateway和vCenter Server Appliance的更新。
原文链接:https://www.securityweek.com/many-vmware-products-affected-sack-linux-vulnerabilities
京公网安备11010802024551号