研究人员发现了一种新的远程访问特洛伊木马(RAT),这似乎是专门针对政府和外交目标的威胁组织的一种攻击手段。
作者/来源: 安华金和
研究人员发现了一种新的远程访问特洛伊木马(RAT),这似乎是专门针对政府和外交目标的威胁组织的一种攻击手段。
周四,思科 Talos 的研究人员说,名为 ObliqueRAT 的恶意软件正在针对东南亚目标的新攻击中进行部署。
近的竞选活动于 2020 年 1 月开始,目前正在进行中。该计划背后的网络罪犯使用网络钓鱼电子邮件作为主要的攻击媒介,恶意的 Microsoft Office 文档附加在旨在部署 RAT 的欺诈性电子邮件上。
附件具有比较正式的名称,例如 Company-Terms.doc 或 DOT_JD_GM.doc,这可能是“电信部门_职位描述_总经理”的简称。
网络钓鱼电子邮件的主体中可能包含打开文件所需的凭据,如果受害者输入了密码并打开了文档,则恶意的VB脚本将立即生效,提取恶意二进制文件并删除可执行文件,该可执行文件充当 ObliqueRAT 的删除程序。
每次重新启动受感染的系统时,通过为可执行文件创建启动过程来维护持久性。
Talos 认为 RAT 是“简单的”,并且包含典型木马的核心功能,包括能够提取文件和系统数据以传输到命令和控制(C2)服务器的能力。下载和执行其他有效负载的功能,以及终止现有进程的能力。
但是,一个有趣的功能是,恶意软件会查找特定目录,以获取其中的文件。目录名称 C:\ProgramData\System\Dump 是硬编码的。
研究人员说:“RAT 通过创建并检查一个名为 Oblique 的互斥体来确保在任何给定时间内,受感染的端点上都只运行其进程的一个实例。”如果端点上已存在命名互斥体,则 RAT 将停止执行,直到下次登录受感染的用户帐户。”
为了避免检测和逆向工程,该恶意软件还将检查系统的名称和信息,以了解 PC 被沙箱化的线索,例如使用用户名“test”。
根据 Talos 的说法,RAT 的传播方式与恶意文档中使用的VBA脚本变量之间的相似之处表明,它可能与 CrimsonRAT 建立了潜在的联系,CrimsonRAT 以前与同一地区的外交和政治组织的攻击有关。
Talos说:“该活动表明,威胁行为者进行了有针对性的恶意文档分发,类似于在 CrimsonRAT 分发中使用的恶意文档。” “但是,突出的是,参与者现在正在分发一个新的RATS系列。尽管它在技术上并不复杂,但是 ObliqueRAT 包含大量功能,可用于在受感染的端点上执行各种恶意活动。 ”
来源:ZDNet
更多资讯
关于 Apache Tomcat 存在文件包含漏洞的安全公告
2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。
来源:开源中国
详情链接: https://www.dbsec.cn/blog/news.html
WIFi 5 后的疯狂 2019 年无线路由器市场报告
2019年无线路由器市场面对首批WiFi 6产品的来势汹汹,WiFi 5产品掀起了后的疯狂。在产品方面,全千兆端口+1300Mbps速率已经成为标配。在下半年的市场中,各个厂商更是接连推出2100Mbps的低价产品,将原来发烧级的产品规格拉低到了150元左右。
来源:中关村在线
详情链接: https://www.dbsec.cn/blog/news.html
独立监督委员有望保障非盈利性 .ORG 域名持有者的权益
自从负责 .ORG 域名注册业务的非营利组织 PIR 被 Ethos Capital,有关这家私营机构的批评和质疑就从未停下来过。尽管 Ethos Capital 试图通过一系列新规则来安抚,但购买 .ORG 域名的组织,仍希望建立一个独立的“管理委员会”、并通过合同的形式,以禁止向非营利性域名持有者收取高额的费用。
来源:http://cnBeta.COM
详情链接: https://www.dbsec.cn/blog/news.html
(信息来源于网络,安华金和搜集整理)