高通骁龙芯片高危漏洞,可导致私钥泄露;DMS遭GandCrab攻击;挖矿AppBeapy

发布时间 2019-04-26
1.高通骁龙芯片高危漏洞,可导致QSEE加密私钥泄露



高通芯片组存在一个侧信道攻击漏洞,该漏洞(CVE-2018-11976)可允许攻击者从高通芯片的QSEE安全区域中检索加密私钥。QSEE是高通芯片的可信实行环境(TEE),类似于英特尔的SGX。根据NCC研究人员Keegan Ryan的表述,高通芯片的加密签名算法ECDSA(椭圆曲线算法)存在漏洞,可通过随机数的一些bit推测出256位ECDSA密钥。该漏洞的利用需要设备的root权限。有46款高通芯片组受到影响,包含多款骁龙芯片。该漏洞的修复补丁已经包含在谷歌发布的4月Android安全更新中。


原文链接:

https://www.zdnet.com/article/security-flaw-lets-attackers-recover-private-keys-from-qualcomm-chips/

2.DMS遭GandCrab攻击,约38个医疗中心的数据受影响


医疗账单服务提供商Doctors’ Management Service(DMS)遭到勒索AppGandCrab攻击,近38个医疗中心的患者数据受到影响,包括贝弗利外科协会、新英格兰神经研究所、新英格兰社区医疗服务等。受损数据包括患者的个人信息,例如姓名、地址、出生日期、社会安全号码、驾驶执照号码、保险、医疗保险/医疗补助信息等。调查结果表明对DMS网络的初始未授权访问发生在2017年4月1日,通过DMS工作站上的RDP协议进行入侵。DMS已从备份中恢复了数据,无需支付赎金。


原文链接:

https://cyware.com/news/doctors-management-service-hit-with-gandcrab-ransomware-attack-compromising-patient-data-b6eebd02

3.欧洲制造商Aebi Schmidt遭未知勒索App攻击


瑞士市政和农业机械制造商Aebi Schmidt成为勒索App攻击的最新受害者。据TechCrunch报道,勒索App攻击严重影响了Aebi Schmidt的欧洲基地,导致许多系统无法运行,包括相关制造业务系统。该企业的电子邮件服务也受到影响,部分员工被迫开始休无薪假。Aebi Schmidt称攻击的原因仍未确定。


原文链接:

https://cyware.com/news/unknown-ransomware-cripples-computer-systems-of-aebi-schmidt-ffa880fb

4.新恶意挖矿AppBeapy,已感染超过1.2万个用户


赛门铁克研究人员发现新恶意挖矿AppBeapy的攻击活动在近期飙升。Beapy首次出现于1月份,自三月份以来已经在732个企业中引发了超过1.2万起感染事件。该恶意App通过钓鱼邮件传播,一旦受害者打开恶意附件,恶意附件就会释放NSA黑客工具DoublePulsar,在受感染的计算机上创建后门并使用NSA的EternalBlue漏洞利用横向传播。研究人员称超过80%的Beapy感染都发生在中国。


原文链接:

https://techcrunch.com/2019/04/25/cryptojacking-nsa-malware/

5.攻击者滥用GitHub服务托管网络钓鱼工具包



Proofpoint研究团队发现恶意攻击者滥用GitHub的网页寄存服务来托管网络钓鱼工具包。这种方法使得攻击者可以利用github.io域名绕过白名单等防御措施。研究人员发现这些钓鱼工具包大多数用于收集受害者的凭据(例如银行账户凭据)等敏感信息并发送至攻击者的服务器。GitHub已在4月19日采取措施禁用了这些恶意账户。


原文链接:

https://www.bleepingcomputer.com/news/security/github-service-abused-by-attackers-to-host-phishing-kits/

6.TA505利用LOLBins和ServHelper瞄准金融企业



Cybereason研究人员发现犯罪团伙TA505的新攻击活动利用多种欺骗技术瞄准金融机构。该团伙采用了多种策略来逃避检测,主要针对金融企业的特定账户进行钓鱼攻击。攻击者使用了多个C2域名以绕过黑名单检测,并在目标系统上释放ServHelper后门。该ServHelper变体依赖于四个LOLBins和本地系统进程实施恶意活动,此外,ServHelper还使用了Sectigo RSA Code Signing CA签名的有效证书来逃避检测。


原文链接:

https://cyware.com/news/ta505-group-uses-lolbins-and-servhelper-backdoor-to-compromise-financial-firms-00550f4d