今日威胁情报(2019/3/1)
APT活动
1、360威胁情报中心发布,URLZone:疑似针对日本高科技企业雇员的攻击活动分析。360威胁情报中心捕获到多个专门针对日本地区计算机用户进行攻击的诱饵文档,文档为携带恶意宏的Office Excel文件。通过分析相关鱼叉邮件的收件人信息,我们发现受害者均为日本高科技企业雇员。从攻击的定向性、受害者分布及过往相关背景信息来看,攻击者主要目的是为敛财,同时也不排除其有窃取商业机密和知识产权的可能性。
诱饵文档内的恶意宏代码及后续的PowerShell脚本会调用多个与系统语言区域相关的函数,并依赖于函数的返回值解密后续代码,从而实现专门针对日文系统使用者的精确投递。比如通过判断货币格式化后的长度、使用本机的LCID(LanguageCode Identifier)作为异或解密的密钥等方式来区分是否为日本地区的计算机。攻击者最终通过图片隐写技术下载并执行URLZone,并在随后的代码中进一步检测运行环境,以避免在沙盒、虚拟机以及分析机上暴露出恶意行为。
https://mp.weixin.qq.com/s/NRytT94ne5gKN31CSLq6GA
威胁活动
1、Golang编写的恶意软件对电子商务网站的攻击活动。
https://blog.malwarebytes.com/threat-analysis/2019/02/new-golang-brute-forcer-discovered-amid-rise-e-commerce-attacks/
2、新的网络钓鱼活动利用Microsoft的Azure Blob存储来窃取用户的Microsoft帐户信息。此文为网络钓鱼分析文,从事此项目或工作的可以参考。
https://www.edgewave.com/phishing/feeling-blue-about-phishing/
3、Qbot恶意软件的回归,最新的应变依赖于Visual Basic脚本植入目标机器。
https://www.theregister.co.uk/2019/02/28/new_qbot_banking_malware_strain/
4、MageCart组织动脑想策略,以更好地窃取您的信用卡。
https://www.bleepingcomputer.com/news/security/magecart-group-evolves-tactics-to-better-steal-your-credit-cards/
https://www.riskiq.com/research/inside-magecart/
技术分析
1、黑客组织如何窃取流行的Instagram个人资料。来自趋势的分析。挺不错的分析文。
https://blog.trendmicro.com/trendlabs-security-intelligence/how-a-hacking-group-is-stealing-popular-instagram-profiles/
漏洞相关
1、干货:Cisco RV110W,RV130W和RV215W路由器管理接口远程命令执行漏洞。
虽然有漏洞,但是没法调试啊,希望研究路由的老哥们能搞定,哈哈哈。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
数据泄露相关
1、道琼斯维持数据泄露,超过240万条记录被泄露,泄露服务器是Elasticsearch,数据大小为4.4GB,记录总数为2,418,862。它包含有关政治暴露人士,他们的亲属,亲密伙伴以及他们所连接的公司的详细信息。其他信息包括有犯罪记录的人,国家和国际政府制裁名单和类别,以及道琼斯的简介。所有这些细节都用于分析财务风险并识别与这些人/实体相关的非法活动。
说明下,这些数据对于国家反贪腐、查询高智商犯罪记录等有很大用处,有裤子的老哥共享下。
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly/
其他国际情报新闻
1、美俄网络战才刚刚开始……
https://www.dw.com/en/opinion-us-russian-cyber-war-just-getting-started/a-47728060
2、网络钓鱼是供应链攻击的最大威胁
https://www.helpnetsecurity.com/2019/02/28/microsoft-security-intelligence-report-volume-24/
3、攻击者入侵孟加拉国大使馆网站以分发恶意Word文档。到孟加拉国驻开罗大使馆的网站似乎受到了入侵者的控制。尝试访问网站上的几乎任何URL都会以保存文件的请求结束。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/bangladesh-embassy-website-in-cairo-compromised/
4、印巴冲突、网络战争
https://www.cnbc.com/2019/02/27/india-pakistan-online-war-includes-hacks-social-media.html
5、联合国航空机构隐瞒了严重的黑客行为。联合国机构与192个成员国和行业团体合作,负责制定国际民用航空标准,包括安全和保障标准。典型的APT攻击。期待后续有大报告。美国飞机制造商和国防承包商洛克希德·马丁公司是第一个引起关注的人,警告国际民航组织其服务器被劫持以向政府和航空公司计算机传播恶意软件。
https://phys.org/news/2019-02-aviation-agency-conceals-hack-media.html
有疑问加站长微信联系(非本文作者)