Check Point 威脅情報(bào)0312——攻擊與漏洞榜單
2018.03.31
--轉(zhuǎn) checkpoint中國
Check Point 安全研究披露,一種名為“RottenSys”的新型移動(dòng)僵尸網(wǎng)絡(luò)廣泛肆虐,感染近 500 萬臺 Android 設(shè) 備�。RottenSys 惡意軟件系列最初被用于在用戶設(shè)備上強(qiáng)行顯示廣告。作為目前正在組織的僵尸網(wǎng)絡(luò)的一部分�����,RottenSys 包 含廣泛的功能���,例如毫無跡象地安裝其他應(yīng)用程序以及 UI 自動(dòng)化���。
應(yīng)對方案:Check Point SandBlast Mobile 將保護(hù)客戶免遭這類威脅
與俄羅斯關(guān)聯(lián)甚切的 Sofacy APT 針對使用新版本 Flash Player 的歐洲政府機(jī)構(gòu),開發(fā)名為“DealersChoice”的漏洞平臺���。新 版 DealersChoice 已通過釣魚電子郵件進(jìn)行發(fā)送��,該釣魚郵件引用內(nèi)容為本月于英國舉行的“水下防御與安全”會(huì)議�����。
應(yīng)對方案:Check Point 防病毒刀片提供針對此威脅的防護(hù) (Trojan.Win32.DealersChoice)
利用 Monero 加密貨幣挖掘軟件對 PostgreSQL 數(shù)據(jù)庫系統(tǒng)發(fā)起新的攻擊活動(dòng)�����。該加密貨幣挖掘軟件嵌入好萊塢女星“斯嘉 麗·約翰遜”圖片的二進(jìn)制代碼末尾��,并已為其運(yùn)營商獲利約 65000 美元����。
應(yīng)對方案:Check Point IPS 刀片將在其下一代在線軟件包中提供針對此威脅的保護(hù)
“Dofoil”惡意軟件,又名 Smoke Loader���,其在 12 小時(shí)內(nèi)利用 Electroneum 加密貨幣挖掘軟件感染近 40 萬臺 Windows 計(jì)算 機(jī)�����。該攻擊針對名為“MediaGet”的 BitTorrent 流行客戶端開發(fā)出后門程序���。
應(yīng)對方案:Check Point 防僵尸網(wǎng)絡(luò)刀片和防病毒刀片可提供抵御此威脅的保護(hù) (Trojan.Win32.Smokeloader; Trojan.Win32.Dofoil)
與中國關(guān)聯(lián)甚切的 APT15 針對英國各個(gè)政府部門和軍事組織的承包商發(fā)起攻擊���。在此次攻擊中,ATP15 使用兩個(gè)名為 “RoyalCLI”和“RoyalDNS”的新后門程序�。該后門程序迫使受感染的系統(tǒng)安裝惡意工具,并通過 Internet Explorer 組件遠(yuǎn)程 控制�����。
漏洞和補(bǔ)丁
經(jīng)調(diào)查����,Unix 和 Linux 系統(tǒng)的流行文本編輯器易受嚴(yán)重的特權(quán)升級漏洞攻擊�。通過該漏洞,攻擊者可在受害者的計(jì)算機(jī)上運(yùn)行 惡意代碼�����,并以這些文本編輯器加載插件的方式侵入計(jì)算機(jī)��。
三大流行 VPN 服務(wù) HotSpot Shield���、PureVPN 和 Zenmate 中發(fā)現(xiàn)關(guān)鍵漏洞�����,這三大服務(wù)在全球擁有百萬用戶�。成功攻擊漏 洞后,攻擊者可侵占用戶的真實(shí) IP 地址和位置����,并將受害者的網(wǎng)絡(luò)流量重定向至惡意網(wǎng)站。
在 AMD 的 Ryzen 和 EPYC 系列處理器中發(fā)現(xiàn) 13 個(gè)關(guān)鍵漏洞和可利用后門程序�����。該漏洞可允許攻擊者訪問敏感數(shù)據(jù)�,在芯片 內(nèi)部安裝持久惡意軟件,并獲取對受感染系統(tǒng)的完全訪問權(quán)限�。
憑證安全支持提供程序 (CredSSP) 協(xié)議中發(fā)現(xiàn)一個(gè)嚴(yán)重漏洞。該漏洞可攻擊所有版本的 Windows�����,這讓遠(yuǎn)程攻擊者能夠利用 RDP 和 WinRM 竊取認(rèn)證數(shù)據(jù)并遠(yuǎn)程運(yùn)行惡意代碼��。
威脅情報(bào)報(bào)告
Check Point 研究人員對勒索軟件即服務(wù) GandCrab 進(jìn)行了深入研究����。報(bào)告顯示,GandCrab 的開發(fā)者通過采用 AGILE 開發(fā) 流程不斷改進(jìn)其惡意軟件。
Check Point SandBlast Agent��、SandBlast 和 防僵尸網(wǎng)絡(luò)刀片提供抵御此威脅的保護(hù) (Ransomware.Win.GandCrab.A; Trojan Ransom.Win32.GandCrab.A)
FakeBank Android 銀行木馬病毒的新變種暴發(fā)����,目前活躍于韓國。該惡意軟件能夠攔截受害者與銀行有關(guān)的呼入和呼出電 話����,并將其重定向至詐騙者以竊取受害者的銀行信息。
Check Point SandBlast Mobile 將保護(hù)客戶免遭這類威脅����。
利用音頻芯片功能創(chuàng)建揚(yáng)聲器與揚(yáng)聲器之間的通信通道,名為“Mosquito”的新技術(shù)可使空中間隙 PC 通過超聲波隱蔽地交換數(shù) 據(jù)���。這項(xiàng)技術(shù)嵌入此功能,可將連接的揚(yáng)聲器(如聽筒或耳機(jī))轉(zhuǎn)換為竊聽裝置�。
安全研究人員披露一款 Mac 應(yīng)用程序,作為默認(rèn)功能�,該應(yīng)用程序可挖掘 Monero 加密貨幣以換取免費(fèi)高級帳戶的使用權(quán)限。 該款應(yīng)用程序名為 Calendar 2��, 其將導(dǎo)致挖掘者消耗比預(yù)期更多的 CPU 資源���,并且即使用戶取消默認(rèn)設(shè)置����,挖掘過程仍會(huì)繼續(xù)。
