首页 > 安全钻研 > 安全传递 > 安全简讯

《维他命》逐日安全简讯20181203

颁布功夫 2018-12-03

1、APT组织Tropic Trooper新恶意活动，针对亚洲能源及食品行业

Windows Defender ATP团队发现一个针对亚洲能源、食品和饮料行业的新恶意攻击活动，基于对该活动的指标选择、攻击链以及工具集的分析，钻研团队以为该活动是由APT组织Tropic Trooper提议的。攻击的初始向量是一个利用了Office公式编纂器缝隙CVE-2018-0802的恶意文档，攻击者随后使用bitsadmin.exe从远程服务器下载并执行随机定名的payload。钻研人员以为这些payload的重要主张是窃取数据。

原文链接：

https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/

2、旧瓶装新酒，恶意攻击活动Butter参与新samba木马

GuardiCore钻研团队发现恶意攻击活动butter参与了新payload：samba木马。butter最早出现于2015年中期，其攻击来自于有限的几个IP，具体来说，只有4个IP被用于分歧阶段的攻击活动。这些IP来自于香港和新加坡，并且自2016年以来一向与恶意活动有关联。butter早期的payload是80 RAT，但自2018年7月起起头使用samba木马。samba木马是典型的RAT，能够下载文件、执行shell号令、提议DDoS攻击以及拥有升级机造。钻研人员已经观察到了该木马的7个分歧的版本。

原文链接：

https://www.guardicore.com/2018/11/butter-brute-force-ssh-attack-tool-evolution

3、瞻望将来，McAfee颁布2019年网络威胁预测汇报

McAfee尝试室关于2019年网络威胁的预测蕴含：犯罪分子的地下同盟关系将越发牢固，并将成立更多合作同伴关系，加强其威胁性；人为智能是逃避技术的将来；协同性威胁将增长，因而必要更多的综合性响应措施；犯罪分子利用社交媒体传布虚伪信息，并针对商家品牌提议诓骗活动；数据渗漏更多地针对云端；语音副手成为IoT攻击的下一个载体；犯罪分子将更多地针对身份平台和天堑设备提议攻击。

原文链接：

https://securingtomorrow.mcafee.com/mcafee-labs/mcafee-labs-2019-threats-predictions/

4、从未停息，银行木马BackSwap3月至11月恶意活动分析

Check Point钻研团队颁布关于银行木马BackSwap的演变趋向的分析汇报。BackSwap最早于2018年3月中旬被发现，其时的样本较为单一，重要针对波兰银行ipko.pl、24.pl和mbank.pl。4月份，新的样本中将更多的银行增长为指标，并起头在指标网站的DOM中创建虚伪的输入表格，覆盖原始输入字段。5月份，BackSwap起头跟踪受习染机械的数量。6月份，BackSwap将其有效荷载嵌入BMP图像中。7月份BackSwap没有任何活动，但在8月份起头转向针对西班牙银行。9月到11月份BackSwap重要是对图像体式的payload进行批改，并增长了更多加密层和大量垃圾代码。

原文链接：

https://research.checkpoint.com/the-evolution-of-backswap/

5、数据库不设密码，Urban公司超过30万用户信息泄露

Urban是一家英国的推拿创业公司，其数据库因未设密码导致超过30万客户信息泄露。钻研人员Oliver Hough通过Shodan发现了该数据库，目前该数据库已下线，但不知路该数据库露出了多长功夫。该数据库中蕴含超过30.9万用户纪录，蕴含姓名、电子邮件地址、电话号码等。此表，数据库中还存储了超过35.1万个服务预约纪录，以及超过2000个推拿师的有关信息。

原文链接：

https://techcrunch.com/2018/11/27/urban-massage-data-exposed-customers-creepy-clients/

6、思科建复Prime许可证治理器中的SQL注入缝隙

思科建复了Prime许可证治理器（PLM）中的一个SQL注入缝隙，未经身份验证的远程攻击者可利用该缝隙执行肆意SQL查问。该缝隙（CVE-2018-15441）与PLM的Web框架代码有关，凭据思科的描述，该缝隙是由于SQL查问中短缺对用户输入进行验证导致的，攻击者可通过发送蕴含SQL语句的恶意HTTP POST要求触发该缝隙，从而获得shell权限或批改及删除PLM数据库中的数据。PLM 11.0.1及之后的版本受到影响，建议用户尽快装置建复补丁。

原文链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181128-plm-sql-inject

申明：本资讯由GA黄金甲维他命安全幼组翻译和整顿

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

《维他命》逐日安全简讯20181203

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线