每日安全简讯(20190706)
1 TA505组织新活动使用Gelup和FlowerPippi恶意工具趋势科技研究人员近期观察到TA505组织近期活动针对阿拉伯联合酋长国和沙特阿拉伯、印度、日本、阿根廷、菲律宾和韩国,在新活动中使用了Gelup和FlowerPippi恶意软件工具。6月11日TA505向阿联酋,沙特阿拉伯和摩洛哥发送垃圾邮件。垃圾邮件包含.html或.xls文件附件。HTML文件导致下载包含恶意Excel 4.0宏的另一个Excel文件,然后下载FlawedAmmyy下载程序。6月17日,攻击者将恶意软件嵌入Excel文件作为附件发送,VBA宏下载ServHelper加载程序。6月20日针对日本,菲律宾,韩国和阿根廷的活动中,VBA宏下载了FlowerPippi和Gelup恶意工具。
https://blog.trendmicro.com/trendlabs-security-intelligence/latest-spam-campaigns-from-ta505-now-using-new-malware-tools-gelup-and-flowerpippi/
2 BianLian银行木马增加新模块以混淆的APK形式传播
FortiGuard Labs研究人员发现BianLian银行木马样本,APK被严重混淆,样本依赖于生成各种随机函数来隐藏其实际功。下载后应用程序隐藏其图标并不断请求允许使用辅助功能服务。获得权限后,恶意软件会启动所有模块。与其2018年版本相比,新增了一些新的功能,除利用辅助功能服务外,增加了Screencast和SOCKS5模块。Screencast模块允许恶意软件记录设备的屏幕,恶意软件首先检查屏幕是否被锁定。如果是,则解除锁定然后开始记录。使用FCM(Firebase云消息传递)远程启动录制。SOCKS5模块用于使用JSCH(Java安全通道)在设备上创建一个正常运行的SSH服务器,这是一个在纯Java中实现SSH2的库。通过使用此工具,BianLian可以设置一个代理,可以使用端口34500上的远程端口转发运行SSH会话,其实现类似于2017的恶意软件MilkyDoor,使得与C2的通信更难以检测。
https://www.fortinet.com/blog/threat-research/new-wave-bianlian-malware.html
3 St John Ambulance慈善机构受到勒索软件攻击
急救慈善机构St John Ambulance承认7月2日(星期二)受到勒索软件攻击,此次攻击未影响其运营系统,该机构表示在半小时内解决了问题,没有支付任何赎金,但是确认截至2019年2月所有开设帐户、预订或参加培训课程的用户数据都受到了影响。这些数据包括姓名、课程、联系方式、费用、发票详细信息以及部分驾驶执照数据。使用密码、信用卡详细信息以及用品、事件、救护车操作、志愿服务、志愿者、数据、员工数据、临床数据或患者数据不受影响。St John Ambulance已经向信息专员办公室(ICO)和慈善委员会通报了数据泄露情况。
https://www.theinquirer.net/inquirer/news/3078418/st-john-ambulance-ransomware-attack
4 安全厂商披露利用漏洞接管Magento网站方法
研究人员披露了Magento HTML清理程序漏洞和Phar反序列化漏洞接管网站的利用链,攻击者可以接管Magento商店并重定付款到其银行账户。攻击者须利用存储的跨站脚本(XSS)漏洞将JavaScript有效载荷注入Magento商店的管理员后端。有效载荷可用于劫持员工的身份验证会话,攻击者可以利用负责在WYSIWYG编辑器中呈现图像的控制器内的Phar反序列化漏洞。通过将phar://流包装器注入映像文件处理程序,攻击者可以触发PHP对象注入。然后,他可以从Magento核心链接POP小工具,最终导致远程代码执行。
https://blog.ripstech.com/2019/magento-rce-via-xss/
5 Firefox浏览器中存在17年漏洞可致本地文件泄露
研究人员利用Firefox浏览器中存在17年的漏洞对新版本的Firefox浏览器进行了概念验证攻击。该攻击利用了Firefox实现同源策略的方式(SOP),该方式允许系统上文件夹中的任何文件访问同一文件夹和子文件夹中的文件。由于IETF在RFC中没有明确定义文件方案的同源策略,因此每个浏览器和软件都以不同方式实现它,Firefox是唯一一个不会随着时间的推移改变其文件URI方案的同源策略(SOP)的主要浏览器。研究人员利用这个旧的已知漏洞结合点击劫持攻击和“上下文切换”漏洞,使其利用代码自动执行,获取位于同一文件夹和子文件夹中的所有文件的列表,使用Fetch API读取任何特定或所有文件的内容,然后通过HTTP请求将收集的数据发送到远程服务器。执行此攻击攻击者必须诱使受害者下载并在Firefox Web浏览器上打开恶意HTML文件,然后点击虚假按钮触发攻击。
https://thehackernews.com/2019/07/firefox-same-origin-policy-hacking.html
6 黑客可利用VR应用程序关键漏洞控制用户计算机
研究人员在三个不同的虚拟现实平台中发现了漏洞,这些漏洞可能让黑客接管目标计算机。这些漏洞存在于VRChat(Valve的Steam VR的虚拟主页功能)和High Fidelity(虚拟现实的开源平台)中。通过在聊天室中利用漏洞,攻击者可以打开网络摄像头、麦克风、或操纵他们在VR耳机中看到的内容,攻击者还可以利用蠕虫恶意软件邀请受害者朋友进入聊天室,从而感染恶意软件。
https://www.vice.com/en_us/article/8xz33p/hackers-hijacked-vr-chatrooms-to-manipulate-users-reality
页:
[1]