每日安全简讯(20180802)

1 安全团队发现针对金融机构新型攻击

最近思科Talos发现了许多基于合法的电子邮件向用户传播恶意软件的攻击，研究人员分析攻击者为Cobalt Gang团体和其它参与者，主要针对金融机构的进行经济获益。攻击主要手法为使用带有恶意混淆的VBA宏代码的Word OLE复合文档，包含使用漏洞利用工具包Threadkit创建的Microsoft Office漏洞（CVE-2017-11882，CVE-2017-8570，CVE-2018-8174，CVE-2017-0199）的RTF文档或启动下一个攻击阶段的PDF文档，最终提供Cobalt Strike信标二进制文件或基于JScript的后门（More_eggs）载荷，过程中攻击者使用漏洞攻击套件的某种修改版本逃避检测。通过Umbrella Investigate查询的C2大多数来自美国，其次是德国和土耳其。


https://blog.talosintelligence.c ... ality-disorder.html

---

2 安全厂商发现针对工业企业网络钓鱼

ICS CERT发现了一系列带有恶意附件的网络钓鱼电子邮件，伪装成合法的商业报价，发送给位于俄罗斯的工业生产相关的公司和组织，窃取帐户资金。攻击者使用恶意软件安装能够远程控制受感染系统的合法远程管理软件TeamViewer或Remote Manipulator System/Remote Utilities（RMS），使用各种技术包括社会工程学来屏蔽系统中安装的恶意软件的感染和活动。研究人员认为此次攻击者为一个对俄语有很好掌握的犯罪集团，攻击不仅限于盗窃金钱，还包括窃取敏感数据。


https://securelist.com/attacks-o ... d-teamviewer/87104/

---

3 美国Mat-Su政府网络感染勒索软件

7月24日，阿拉斯加州安克雷奇市Matanuska-Susitna自治区（Mat-Su）政府网络因感染勒索软件而瘫痪，部分基础设施下线达1周之久。7月31日，Mat-Su官员称计划清理并重装650台台式电脑和服务器。FBI已介入事件调查。目前认为，勒索软件是2017年7月首次发现的BitPaymer；2018年1月，安全公司ESET报告，称该软件与运行Necurs垃圾邮件僵尸网、以及Dridex银行木马是同一团伙所为。
此次攻击是一起协同行动，阿拉斯加的Valdez市7月28日也报告了被“某种计算机病毒”攻击。Mat-Su镇IT官员称，此行动使用了木马、加密、时钟炸弹、失能开关等多种手法。分析表明，至少从5月3日起，该软件已进入Mat-Su政府网络。7月初被McAfee杀毒软件发现并清除了部门木马，IT机构随后开发了专用脚本以清除其他部分，计划在7月23号晚间进行，但这一行为似乎触发了勒索软件的失能开关，Mat-Su政府网络中的全部桌面工作站（500台)和150台服务中的120台随即被加密。


https://www.bleepingcomputer.com ... writers-for-a-week/

---

4 非官方GitHub CDN被滥用进行挖矿

7月31日，安全公司Sucuri报道了又一种滥用GitHub的挖矿活动。这是自2017年12月首次发现恶意使用GitHub挖矿以来的第4起活动，使用了为GitHub提供CDN的第三方服务RawGit。
攻击者在受感染的Drupal和WordPress站点的.js和主题文件中注入脚本，执行时加入一个不可见的iFrame，先后从RawGit中加载加载器和经混淆的挖矿程序。
由于RawGit反应迅速，在接到报告后的几个小时就删除了缓存的URL，因此这一活动没有成功。


https://blog.sucuri.net/2018/07/ ... t-cryptominers.html

---

5 Pegasus木马借WhatsApp信息传播

据最新报告称，所属NSO集团的功能强大的恶意软件Pegasus，被用来对抗抗沙特阿拉伯的工作人员和人权捍卫者，通过发送携带恶意链接的WhatsApp信息，点击这些链接可能会感染目标使用NSO Group的Pegasus间谍软件的手机，实现在iPhone或Android设备上执行任何操作，包括无声地窃取消息，监听电话，查看网络摄像头以及使用设备麦克风收听。大赦国际的研究人员通过恶意链接的目标重新路由到发起攻击的网站，确定600个网站用于诱骗和监视包括赞比亚，肯尼亚，刚果民主共和国，哈萨克斯坦，拉脱维亚和匈牙利，以及海湾的活动家。


https://thehackernews.com/2018/07/iphone-hacking-spyware.html

---

6 360发布全球APT威胁2018年中报告

360威胁情报中心今日发布APT2018年中报告，报告中结合公开的威胁情报和内部情报数据，针对2018年上半年高级威胁事件相关的分析和总结，并对近半年的APT攻击活动所呈现的态势进行分析。2018上半年以来，全球APT攻击活动呈现出较高的活跃程度，呈现出中东地区、东欧和中亚、亚太地区、美国和欧洲的明显的地缘政治特征，存在海莲花、摩诃草、蔓灵花、Darkhotel、APT-C-01、蓝宝菇和已被360威胁情报中心监测到但尚未被任何组织机构披露的8个针对境内实施APT攻击行动且来源不同的APT组织，具有0day漏洞利用能力日益提升、结合开源工具和自动化攻击框架提高攻击效率、不断加强对自身攻击手法特点的掩盖和迷惑性、更多的展开对移动设备和路由器攻击等攻防技术对抗持续升级的重要特点。


https://ti.360.net/uploads/2018/ ... 2924e26fc2318fb.pdf

---