1 WildPressure活動針對中東工業相關實體
卡巴斯基研究人員在2019年8月發現了一個惡意活動,該活動分發了一個成熟的C++木馬,研究人員將其稱為Milum。該活動的受害者均為中東組織,包含與工業相關的部門。研究人員僅發現三個獨特樣本,因此認為該活動是具有針對性的,並將該活動命名為WildPressure。樣本文件編譯時間戳均為2019年3月,攻擊者使用租用的OVH和Netzbetrieb虛擬專用服務器(VPS)以及一個通過代理匿名化服務的域註冊的域。Milum使用JSON格式存儲配置數據,並使用HTTP作為C2通信協議。在HTTP POST請求中的加密通信中,研究人員發現惡意軟件版本-1.0.1的字段,這表示該惡意軟件為開發的早期階段。
2 Astaroth木馬使用新無文件技術開展活動
Astaroth信息竊取木馬在以前的活動中依賴使用Windows管理工具命令行(WMIC)的無文件技術傳播。微軟安全團隊發現該木馬的新活動使用新無文件技術:利用備用數據流(ADS)來隱藏惡意載荷和合法進程ExtExport.exe加載有效載荷,使攻擊鏈更加隱蔽。攻擊活動始於葡萄牙語的電子郵件,其包含指向存檔文件的URL。存檔文件包含LNK文件,點擊時,該文件將運行混淆BAT命令行。BAT命令將單行JavaScript文件拖放到Pictures文件夾中,並調用explorer.exe來運行JavaScript文件。釋放的單行腳本使用GetObject技術來獲取並直接在內存中運行更大的主JavaScript文件。然後,主腳本使用命令行調用BITSAdmin的多個實例,從C2下載多個二進制Blob。下載的數據複製到desktop.ini的ADS中,然後刪除原始內容。主腳本使用IE合法實用程序ExtExport.exe加載第一階段代碼,形成的DLL是第二階段惡意軟件代碼,最終利用Userinit.exe加載Astaroth。
3 黑客借"冠狀病毒殺毒軟件"投送BlackNET
Malwarebytes研究人員發現一個惡意網站,其試圖讓用戶安裝聲稱可以防止COVID-19病毒感染的數字殺毒軟件,該惡意程序最終用於投送BlackNET遠程管理工具。該網站介紹稱,"我們哈佛大學的科學家們一直在進行一種特殊的人工智能開發,以使用Windows應用程序對抗冠狀病毒。當應用程序運行時,你的計算機會主動保護你免受冠狀病毒的侵害。"安裝該程序後,由商業打包程序Themida打包的文件,將在受感染計算機上接受來自C2命令。BlackNET會將受感染的設備添加到攻擊者控制的殭屍網絡中。該工具包的完整源代碼已於一個月前在GitHub上發佈,功能包括DDOS攻擊、截圖、竊取Firefox cookies和保存的密碼、鍵盤記錄、執行腳本、竊取比特幣錢包。
4 黑客劫持路由器DNS傳播Vidar惡意軟件
研究人員發現一種新網絡攻擊,其通過劫持路由器的DNS設置,以在Web瀏覽器顯示並提示下載來自世界衛生組織的惡意COVID-19應用程序的頁面,該應用程序為Vidar信息竊取木馬。研究人員分析發現,黑客通過將用戶D-Link或Linksys路由器上配置的DNS服務器更改為攻擊者操作的DNS服務器,將用戶重定向到該惡意內容。目前尚不清楚攻擊者是如何獲得路由器的訪問權來更改其DNS配置的,但一些用戶表示,他們使用弱管理密碼啟用了對路由器的遠程訪問權。
5 微軟警告Type 1字體解析遠程代碼執行漏洞
微軟發佈安全公告,警告Adobe Type Manager庫中存在兩個0day漏洞,這兩個漏洞可能允許黑客遠程控制目標計算機。Adobe Type Manager是一種字體解析軟件,它不僅可以在使用第三方軟件打開時解析內容,還可以被Windows資源管理器用來在"預覽窗格"或"詳細信息窗格"中顯示文件的內容,而無需用戶打開它。該漏洞由於Adobe Type Manager庫不適當地處理特製的多主字體Adobe Type 1 PostScript格式而產生,攻擊者可通過說服用戶打開或在Windows預覽窗格中查看特製文檔的方法,從而執行任意代碼。這兩個漏洞會影響Windows操作系統的所有受支持版本。微軟提供了臨時的緩解措施,補丁將在四月安全更新時發佈。
6 WPvivid備份插件缺陷可致網站數據庫洩漏
WebARX研究人員發現WPvivid備份插件缺少授權檢查,可能導致數據庫和WordPress網站的所有文件暴露。WPvivid Backup Plugin是一個免費的開源插件,它使用戶可以輕鬆地將WordPress安裝備份、遷移和還原到新主機,或將備份發送到遠程存儲。研究人員發現插件代碼的wp_ajax操作中缺少適當的授權、檢查和隨機數檢查,這可能導致跨站點請求偽造(CSRF)攻擊。該缺陷允許允許任何經過身份驗證的用戶添加新的存儲位置並將其設置為默認備份位置(攻擊者控制的位置),這將導致網站的數據庫和其他文件發送給攻擊者。該插件的開發人員於3月17日發佈了修復程序版本。
閱讀更多 網絡吵翻天 的文章
