每日安全简讯(20181117)

1 APT组织TA505使用tRat恶意软件进行攻击

tRat是一种新型模块化的远程访问木马，使用Delphi语言编写。该木马似乎处于测试阶段，但研究人员发现APT组织TA505已经使用它进行攻击活动。在9月和10月发现的两个tRat垃圾邮件活动中，9月的活动使用带有恶意宏的Microsoft Word文档下载有效载荷，而10月的活动更复杂，tRat被TA505组织使用。攻击者使用Microsoft Word和Microsoft Publisher文件，以及不同的主题行和发件人，针对商业银行机构的用户。分发的电子邮件附件都包含宏，启用后，会下载tRat。远程访问木马的显着之处在于它通过将二进制文件复制到Adobe Flash Player文件夹来实现持久性，然后在Startup目录中创建一个LNK文件，该文件在启动时执行恶意软件。该RAT使用TCP端口80进行命令和控制（C2）通信，所有数据都加密并传输十六进制编码。但目前加载程序中唯一支持的命令是直接命名为“MODULE”，为了接收模块，tRat需要执行一系列操作。研究人员表示还没有观察到C＆C提供的任何模块，因此不确定它们可能会添加哪些功能。


https://www.proofpoint.com/us/th ... ple-email-campaigns

---

2 挖矿软件在云中感染错误配置的Docker服务

瞻博网络威胁实验室发现Monero挖矿软件在云中搜索错误配置的Docker服务。Docker提供REST API的管理服务，默认情况下，Docker仅允许Unix套接字访问其REST API。要启用对Docker服务的REST API的远程访问，必须将Docker配置为侦听TCP端口。Docker使用的传统端口是2375和2376，启用后，默认情况下会提供对docker REST API的未加密和未经身份验证的访问。挖矿软件是一种蠕虫病毒，受感染的主机会扫描更多的设备进行新的感染。整个感染链主要以脚本为基础，利用Docker、Wget、cURL、Bash、iproute2、MASSCAN、apt-get、yum、up2date、pacman、dpkg-query、systemd 等系统实用程序进行感染。


https://forums.juniper.net/t5/Th ... e-Cloud/ba-p/400587

---

3 研究人员发现可以投放多个有效载荷的恶意软件

enSilo研究人员发现了一个高度复杂的恶意软件活动DarkGate，活动针对欧洲，特别是在西班牙和法国。DarkGate具有多种功能，包括加密挖掘，窃取加密钱包（加密窃取），勒索软件和远程访问和控制。该恶意软件利用隐藏在合法服务（包括Akamai CDN和AWS）的合法DNS记录中的C＆C基础架构，避免检测，并且使用多种方法避免传统AV使用供应商特定的检查和操作（包括使用过程空心技术）。DarkGate具有两种感染方法，都通过Torrent文件传播。该恶意软件使用的独特技术之一在于其多阶段解包方法。执行的第一个文件是一个模糊的VBScript文件，他是一个投放工具并执行多个操作。在第一阶段，几个文件被放入隐藏文件夹“C：\ {username}”，在第二阶段，AutoIt代码在启动文件夹下创建名称为“bill.ink”的快捷方式。一旦完成，它将触发第三阶段，其中存储在文件“C：\ {username} \ shell.txt”中的二进制代码被解密然后执行。最后，二进制代码执行，搜索可执行文件、读取文件“pe.bin”并解密它并将pe.bin中的解密代码注入进程“vbc.exe”。


https://blog.ensilo.com/darkgate-malware

---

4 安全厂商披露银行木马将电子商务网站作为目标

银行木马一般来讲是针对在线金融服务的用户，以窃取资金或构建僵尸网络的恶意软件。但研究人员发现一些银行木马新增了功能，并且扩展了攻击范围。根据卡巴斯基实验室的数据，14个恶意软件家族正在针对电子商务品牌窃取信息，包括Betabot、Panda、Gozi、Zeus、Chthonic、TinyNuke、Gootkit2、IcedID和SpyEye。在过去几年中，这些木马在电子商务相关攻击活动中的检测率稳步上升，2015年为660万，到2018年底估计会有1230万。银行木马正在针对电子商务品牌来窃取用户凭据，如账号、密码、卡号、电话号码等。检测到的14个恶意软件针对67个消费者电子商务网站，包括33个“消费者服装”网站、8个消费电子网站，8个娱乐和游戏网站，3个热门电信网站，2个在线支付网站和3个在线零售平台。


https://securelist.com/black-friday-alert/88856/

---

5 研究人员发现针对俄罗斯中央银行的钓鱼邮件活动

11月15日上午，Group-IB发现了一个恶意的群发电子邮件活动。攻击者伪造了一个发件人地址（SSL 证书并未进行DKIM验证），并声称来自俄罗斯中央银行（CBR）。邮件主题为“来自俄罗斯联邦中央银行的信息”，要求接收者审查监管机构的决定“关于CBR电子通信格式的标准化”并立即实施变更。研究人员表示电子邮件的格式几乎与监管机构的官方格式相同。黑客有可能访问过合法电子邮件。研究人员怀疑可能是黑客组织Silence或MoneyTaker，因为两个网络犯罪集团对俄罗斯和国际金融组织来说是最危险的。


https://securityaffairs.co/wordp ... bank-of-russia.html

---

6 美国能源部联合国防部完成年度网络安全演习

本月1-7日，美能源部完成了年度网络安全演习“自由之蚀2018”网络演习的技术演练（Technical Exercise）内容，检验电力、石油和天然气基础设施的网络弹性。上月中旬，能源部新成立的“网络安全、能源安全与应急响应办公室”领导完成了演习的第一阶段桌面推演，研究国家网络事件对电力及石油天然气资源的影响 。国防部也参加了此次演习，检验了DARPA正在开发的“快速攻击检测、隔离、分析系统”（RADICS）系统，该系统的目标是“实现在美国能源关键基础设施在网络袭击中电网黑启动恢复”，预期于2020年完成开发。
美国近年对能源领域网络安全高度关注。美国运输部（TSA）和NIST分别更新了管道体系网络安全措施要求；国家级行业协会“美国石油研究院”（API）上月发布了《纵深防御：天然气与石油工业的网络安全》报告。


https://www.fifthdomain.com/thou ... security-awareness/

---