今天值得关注的威胁情报:
1.Globelmposter勒索病毒最新变种预警
研究人员观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
情报来源:
https://mp.weixin.qq.com/s/8aNP0k7Fs5UYAuCCVZe7BQ
2. Dridex Banking Malware Delivered with RMS RAT
安全研究人员发现并调查模仿eFax的广告系列,该广告系列似乎附带了Microsoft Word文档。附件是一个.zip存档,其中包含.xls Microsoft Excel电子表格。此电子表格包含一个Office宏,启用后,该宏用于下载和执行两个恶意可执行文件:Dridex和远程操纵系统远程访问工具(RMS RAT)
情报来源:
https://cofense.com/double-duty-dridex-banking-malware-delivered-rms-rat/
3. 研究人员声称发现Astaroth家族木马开始使用新型无文件技术进行攻击
安全研究人员发现一个Astaroth家族木马新的攻击活动细节,这个攻击活动采用了无文件攻击,攻击主要针对欧洲和巴西用户。
情报来源:
https://thehackernews.com/2019/07/astaroth-fileless-malware.html
4. 利用恶意种子文件对韩国用户发起攻击
韩国电视的粉丝应该留意正在通过洪流网站传播恶意软件的广告,以韩国电影和电视节目为幌子。恶意软件允许攻击者将受感染的计算机连接到僵尸网络并远程控制它。恶意软件是名为GoBot2的公开后门的修改版本,对源代码的修改主要是针对韩国的特定规避技术。
情报来源:
https://www.welivesecurity.com/2019/07/08/south-korean-users-backdoor-torrents/
5. NanSh0u攻击活动样本分析
安全研究人员捕捉到一个NanSh0u组织的木马样本,该样本运行后通过CVE-2014-4113内核漏洞进行Windows提权,获取SYSTEM权限,提权成功后会自动下载挖矿程序,挖矿程序会在后台执行并悄悄的进行挖矿行为。
情报来源:
https://www.freebuf.com/column/207623.html
6. 通过iso文件传播远控木马事件分析
安全研究人员注意到,恶意软件传播增加了鲜为人知的存档类型作为攻击通道,特别是ISO映像文件。利用ISO映像文件隐藏自身的威胁的传播得益于Windows 8以来引入的Windows功能,允许用户通过双击轻松安装此文件类型。
情报来源:
https://blog.yoroi.company/research/spotting-rats-tales-from-a-criminal-attack/