网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】某APT组织利用鱼叉邮件渗透多个行业窃取敏感数据

2019-09-23 07:43 推荐: 浏览: 43 views 字号:

摘要: 某APT组织利用鱼叉邮件渗透多个行业窃取敏感数据 近日,深信服安全团队通过安全感知平台持续跟踪了一个以国内沿海电子制造业、能源行业、大型进出口企业、科研单位等为目标的APT组织,该组织通过鱼叉式钓鱼邮件,在最近的三个月里面持续对国内至少60余个目标发起针对性的...

APT组织利用鱼叉邮件渗透多个行业窃取敏感数据

近日,深信服安全团队通过安全感知平台持续跟踪了一个以国内沿海电子制造业、能源行业、大型进出口企业、科研单位等为目标的APT组织,该组织通过鱼叉式钓鱼邮件,在最近的三个月里面持续对国内至少60余个目标发起针对性的攻击。通过伪造officepdf图标的PE文件迷惑目标,在目标点击之后,释放出AutoIt脚本执行器,然后将高度混淆的AutoIt脚本代码传入脚本执行器执行释放Nanocore RAT窃取受害者主机上面的敏感数据并作为跳板进行内网渗透。不管攻击者的入侵计划是多么的缜密,总会由于技术的限制留下些许蛛丝马迹,譬如软件的植入、网络流量的产生,这些痕迹可能并不足以作为APT攻击的证据,但一旦发现,就必须提高警惕,并及时的保存现场,通知安全相关人员,对疑似感染的主机进行隔离和检查。同时也要注意日常防范措施。

参考来源:

https://www.freebuf.com/articles/system/213652.html

 

国际网络安全组织FIRST暂停华为会员资格

919日,国际网络安全应急论坛组织(Forum of Incident Response and Security TeamsFIRST)暂停了华为的会员资格,其理由是美国对华为实施了出口禁令。FIRST成立于20世纪90年代,主要致力于鼓励国际合作和预防黑客攻击。目前该组织已经发展成为了针对大型全球黑客和网络安全事件的非正式的第一响应者。FIRST成员可以共享信息和情报,以快速识别和隔离网络攻击或漏洞,并防止其迅速传播。华为被暂停会员资格后,将暂时不能参与讨论软件故障等问题,将暂时不再参与FIRST中特殊小组中,对于网络安全漏洞的讨论和信息分享。另外,华为还将无法继续使用自动化平台来共享有关恶意软件的信息。根据该组织分发给各成员的一份备忘录显示,华为之所以被暂停会员,是源于上个月美国对华为出口规则发生变化后,该组织获得了法律咨询。

参考来源:

https://nosec.org/home/detail/2984.html

 

Forcepoint VPN的客户端曝出权限提升漏洞

近期,有安全研究人员在Forcepoint VPNWindows客户端中发现了一个提权漏洞。该漏洞可以使攻击者在已有立足点的情况下实现权限提升,在某些情况下还可以规避安全防护。研究人员在周五的报告中表示,该漏洞被标记为CVE-2019-6145,在漏洞利用时,任意未签名的可执行文件可被SYSTEM权限的签名服务所执行,从而规避某些安全防护。该漏洞存在于Forcepoint VPNWindows客户端6.6.1以下的所有版本中。Forcepoint表示,该漏洞在6.6.1版本中已被修复。

参考来源:

https://nosec.org/home/detail/2983.html

 

未履行网络安全保护义务,一家公司被罚3万元

20189月,商城县公安局在对该县某旅游开发有限公司所属网站进行安全检查时,发现该公司网站存在安全漏洞,未履行网络安全保护义务,未保留登录日志6个月等相关问题,遂对该公司处以警告处罚并责令限期整改。近日,商城警方再次对该公司进行安全检查时发现,其网站仍未按要求进行整改。商城警方依据《网络安全法》,对该公司未履行网络安全保护义务的违法行为处以罚款人民币三万元、对直接主管人员彭某罚款一万元的处罚。

参考来源:

https://www.secrss.com/articles/13862

 

用户质疑隐私被航旅纵横泄露 回应:可自主关闭

针对用户关于平台隐私泄露的质疑,航旅纵横近日发布微博回应称,该功能是默认关闭的,在本人没有开通虚拟身份前,他人无法看到用户的信息。用户需要自己填写昵称、头像等虚拟信息,虚拟身份开通后,只有用户填写的虚拟信息是对外可见的,而本人的真实信息其他人无法看到。此外,用户可以随时修改、删除虚拟身份,关闭该功能。用户对该功能有开启关闭的自主权。据悉,此前,有网友称,在航旅纵横上选座之后,陌生人可以看到自己的名字和头像(并且已经受到骚扰),自己也可以查询到陌生人的名字和头像,质疑航旅纵横泄露客户的隐私。

参考来源:

https://www.bianews.com/news/details?id=43753

 

黑吃黑:刷量软件利用漏洞传播紫狐病毒,中毒电脑被安装流氓软件

近期,腾讯安全御见威胁情报中心检测到刷量软件“流量宝流量版”通过挂马攻击传播“紫狐”病毒。那些使用“流量宝流量版”刷量的电脑因感染紫狐病毒,被强制推装多款软件。监测数据表明,攻击当天有数千台电脑中毒,主要分布在广东、江苏、浙江等地。此次攻击的特点为“在病毒传播和安装的过程中利用大量的已知系统漏洞”,例如在挂马攻击页面利用了IE远程代码执行漏洞(CVE-2014-6332)和IEOffice“双杀”漏洞(CVE-2018-8373),挂马攻击成功后会安装“紫狐”病毒母体MSI包,在安装前又利用多个Windows系统权限提升漏洞(MS15-051MS16-032CVE-2018-8120)提升进程执行权限。值得庆幸的是,普通网民几乎不会主动使用“流量宝流量版”之类的工具,受害者多为经营网络刷量的从业人员。因而本次病毒攻击,对普通网民影响不大。攻击者对多种系统漏洞的利用的技巧,值得重视。

参考来源:

https://www.freebuf.com/column/214622.html

 

脸书因私隐泄露丑闻暂停数万APP,涉约400个开发商

据报道,社交平台“脸书”(Facebook2018年曝出“剑桥分析”私隐外泄丑闻后,开始检视平台上的应用程序是否涉及违规,公司20日公布,已暂停6.9万个应用程序(app),涉及约400个开发商,但强调有关应用程序不一定对用户构成威胁。当地时间2018323日,英国信息委员会执法人员搜查位于伦敦的“剑桥分析”公司总部。“剑桥分析”公司涉嫌“窃取”5000万“脸书”用户的信息,操纵美国大选及英国脱欧公投。

参考来源:

http://tech.caijing.com.cn/20190922/4617362.shtml

联系站长租广告位!

中国首席信息安全官


关闭


关闭