纵观全球态势,感知安全天下。悬镜安全精心筛选过去全球一周安全大事,带你聚焦安全热点。
Dridex银行木马的新变种实现了多态性
Esentire的安全专家检测到了一场传播多态性Dridex银行特洛伊木马变体的威胁活动。该木马已在针对金融机构的活动中多次出现并在持续更新添加新的功能,例如支持XML脚本、点对点加密以及点对命令和控制加密等。研究人员在6月17日首次观察到新的Dridex木马变体,它利用应用程序白名单技术,通过禁用或阻止Windows脚本主机实现绕过。26日,研究人员再次检测到新的类似变种,在实际应用中未被Virustotal服务中列出的大多数杀毒软件所发现。威胁发动者在当前的攻击中不断地改变指标,这使得基于签名的防御解决方案很难检测到威胁。该攻击从分发包含武器化文档的垃圾邮件开始,一旦受害者执行了嵌入的宏,恶意代码就会连接到下载Dridex安装程序的域。一些反病毒引擎能够检测(但不能指定)该可疑行为。
原文链接:
https://securityaffairs.co/wordpress/87828/malware/dridex-banking-trojan-polymorphism.html
恶意软件加载程序通过“天堂之门”技术避过安全检测
安全研究人员近日发现了经过特殊设计的恶意软件加载器,可在受感染的设备上通过注入内存来释放恶意负载,基于操作系统本身自带的功能实现,规避防病毒软件和其他安全工具的检测。该恶意软件加载器使用了“天堂之门(Heaven's Gate)技术实现,该技术能够让32位应用运行于64位系统上时隐藏API调用,进而实现一系列设计功能。此外,恶意代码能够在32位和64位系统之间转换,导致一些调试器和防病毒软件完全”擦肩而过“。这款恶意软件加载器已经被发现用于多个不同类型的恶意软件攻击活动中,包括HawkEye Reborn键盘记录器、Remcos远程访问工具(RAT)和多个基于XMR的挖矿软件。该恶意加载器的广告软件系统使用”Malspam欺诈邮件”作为传播分发渠道。该欺诈邮件攻击滥用Microsoft公式编辑器的CVE-2017-11882 Microsoft Office内存损坏远程执行代码漏洞。恶意软件会伪装成使用Microsoft Word文档和Microsoft Excel生成的发票、银行帐单和其他相关文档,附件被打开后会从攻击者控制的服务器下载恶意软件加载器。
原文链接:
Godlua通过HTTPS滥用DNS来定位Linux和Windows用户
奇虎360的研究人员发现了Godlua恶意软件的两个版本。第一个版本(201811051556)是通过遍历Godlua下载服务器并以Linux系统为目标获得的。第二个版本(20190415103713~2019062117473)以Windows系统为目标,并且正在积极更新。该恶意软件基于Lua的后门,能够同时针对Linux和Windows用户,同时通过HTTPS(DoH)保护其通信渠道。Godlua使用DNS over HTTPS(DoH)逃避流量监控,以确保其在C&C服务器,受感染机器和HTTPS请求中受攻击者控制的服务器之间的通信通道。通过使用DoH,Godlua隐藏了在检测过程中感染过程后期使用的C&C服务器的URL。
原文链接:
https://cyware.com/news/godlua-abuses-dns-over-https-to-target-linux-and-windows-users-b03a360b
黑客入侵了Canonical GitHub帐户,Ubuntu源代码没有受到影响
2019年7月6日,黑客入侵了Canonical有限公司的Github帐户,Canonical有限公司是Ubuntu Linux发行版背后的组织。该公司立即展开调查,好消息是流行的Linux发行版的源代码没有受到影响。目前可以确认Github上有一个Canonical的帐户凭证被泄露。Canonical已经从GitHub中的Canonical组织中删除了泄露的帐户,并仍在调查泄露的程度,但目前没有任何迹象表明源代码或PII受到影响。Canonical团队指出,用于构建和维护Ubuntu发行版的Launchpad基础设施未与GitHub连接,也没有受到影响。该公司计划在调查结束后发布一份公开更新的补救措施。
原文链接:
https://securityaffairs.co/wordpress/88047/hacking/canonical-github-account-hacked.html
新的bianlian变种提供了屏幕记录和创建ssh服务器功能
Fortiguard实验室的研究人员发现了一个新的变种Bianlian银行特洛伊木马,其中包括两个新模块,旨在记录受感染的Android设备的屏幕并创建一个ssh服务器。这个新的变体以一个严重模糊的apk的形式分布,它凭借生成各种随机函数来隐藏特洛伊木马的实际功能。研究人员指出,恶意应用程序隐藏其图标,并请求允许滥用无障碍服务功能,如检查窗口内容、观察各种其他Android应用程序的卡号和密码。一旦用户授予权限,Bianian特洛伊木马将加载其旧模块和新模块,以滥用受感染的Android设备上的可访问性服务。
通过使用android.media.projection.mediaprojection android软件包创建一个虚拟显示,screencast模块允许恶意软件在解锁屏幕后记录受害者的设备屏幕。SOCKS5组件允许恶意软件使用JSH(Java安全通道)在受感染的设备上创建功能性SSH服务器。
原文链接:
受SACK Panic和SACK Slowness影响,数十款VMware产品存在缺陷
至少30个VMware产品受到最近发现的SACK恐慌和SACK缓慢的Linux内核漏洞的影响。远程未经身份验证的攻击者可以利用这些漏洞触发拒绝服务(DOS)条件并重新启动易受攻击的系统。受影响的产品包括AppDefense、容器服务扩展、企业PKS、Horizon、混合云扩展、Identity Manager、集成OpenStack、NSX、脉冲控制台、SD-WAN、Skyline Collector、统一访问网关、vCenter服务器设备、vCloud、vRealize和vSphere产品。6月中旬,Netflix的安全专家发现了三个Linux DOS漏洞,其中两个与最小段大小(MSS)和TCP选择性确认(SACK)功能有关,另一个仅与MSS有关。它们可能会影响包括服务器、Android智能手机和嵌入式系统在内的许多设备。共有三个漏洞被跟踪,分别是SACK恐慌(CVE-2019-11477)、SACK迟缓(CVE-2019-11478,也会影响Freebsd)和CVE-2019-11479。根据VMware的说法,SACK恐慌和SACK迟缓都会影响其数十种产品。
原文链接:
https://securityaffairs.co/wordpress/87936/security/sack-panic-sack-slowness-vmware.html
