今日针对中东的两个情报:MuddyWater扩展攻击范围||FruityArmor利用提权0DAY进行针对攻击

释放双眼,带上耳机,听听看~!

一、

MuddyWater 正在利用大量的鱼叉式网络钓鱼文件针对约旦,土耳其,阿塞拜疆和巴基斯坦的政府机构,军事实体,电信公司和教育机构进行攻击,此外还不断针对伊拉克和沙特阿拉伯,其他受害者也是在马里,奥地利,俄罗斯,伊朗和巴林发现了这些新文件。这些新文件始于2018年,并从5月起逐步升级。

攻击目标以及诱饵图像大致以下格式,剩下的请点击原文看吧

约旦-土耳其-沙特阿拉伯-阿塞拜疆-伊拉克-巴基斯坦-阿富汗,每个目标的诱饵均不一致。

还是老样子,喜欢往ProgramData 里面写东西

这次是这三个文件名,因版本而异

\ EventManager.dll 
\ EventManager.logs 
\ WindowsDefenderService.ini l

本报告链接:

https://securelist.com/muddywater/88059/

该组织以往研究的相关链接

https://sec0wn.blogspot.com/2018/05/clearing-muddywater-analysis-of-new.html?m=1
https://reaqta.com/2017/11/muddywater-apt-targeting-middle-east/
https://blog.malwarebytes.com/threat-analysis/2017/09/elaborate-scripting-fu-used-in-espionage-attack-against-saudi-arabia-government_entity/
https://www.sekoia.fr/blog/falling-on-muddywater/

当然,这系列攻击也和今天在twiiter传的样本来源一致

与这段方式是一致的,包括最后释放的powershell后门

因此可以断定,卡巴看见twitter上有人发了就赶紧发报告了。

顺便值得一提的是样本中还有中文文本,卡巴认为存在代码重用。

二、

#APT攻击# FruityArmor利用CVE-2018-8453进行针对性攻击,附提权漏洞详情

https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/

主要卡巴没给样本,也不好说什么。

weekendstrips[.]net

解析IP 185.217.94.219

shelves-design[.]com

解析IP 176.31.163.161

PS:

最近需要深入学习,因此公众号质量会很粗糙,还是推送情报为主,各位看看就好。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

每日关注之安全资讯第2期

2019-10-16 10:10:04

安全工具

明星隐私倒卖链:你到哪,我去哪

2019-10-16 10:10:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索