每日安全简讯(20181222)

1 安全团队发布APT组织蔓灵花最新攻击报告

蔓灵花（T-APT-17、BITTER）是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织，近期对我国的军工业、核能、政府等重点单位发起了攻击。攻击首先对相关目标单位的个人直接发送嵌入诱饵文件的钓鱼邮件，定制化的文件为伪装为word图标的自解压文件，运行后将执行恶意文件，并打开迷惑用户的word文档。Dropper文件为winrar自解压文件，使用英文版winrar打包压缩，运行后释放木马，解密配置信息，然后将获得受感染机器信息变成字符串，发送到C2。功能模块包含设置开机启动项、键盘记录、远程控制木马（RAT）。研究人员通过关联分析发现曾针对巴基斯坦等地的MY24后门，疑似归属于该组织，跟“白象”（摩诃草、HangOver、Patchwork）也存在关联性。


https://mp.weixin.qq.com/s?__biz ... 18a0b8c7a3ac6e910af

---

2 虚假海啸警报活动对日本用户分发恶意软件

2018年11月，FortiGuard Labs发现了两次针对日本公民虚假海啸预警的垃圾邮件活动。邮件中包含了一个虚假日本气象厅（JMA）网站链接，当点击后，将下载木马Smoke加载程序。Smoke加载程序使用多种反分析技术，包括PEB标志和跳转链的反调试检查；检查sbiedll的使用，来检测是否在沙箱中运行；检测虚拟机使用情况；创建了两个用于监视进程和窗口的线程；检测受害者键盘语言，确保不感染俄罗斯和乌克兰用户。Smoke使用三种方法安装第二阶段有效载荷：无文件、下载DLL并加载、将下载的DLL或EXE文件注册为regsvr32服务，但目前无法观察到第二阶段攻击。研究人员监控虚假网站后，发现下载Smoke的链接在11月25日被高性能木马AZORult取代，从受感染系统中提取数据。这两种恶意软件版本仅在俄罗斯地下论坛上出售。目前，假冒JMA网站仍然充当AZORult C2服务器。


https://www.fortinet.com/blog/th ... lware-to-japan.html

---

3 ThinkPHP框架中漏洞被利用传播Mirai变种

趋势科技研究人员发现了恶意软件Mirai变种Miori、IZ1H9和APEP，通过ThinkPHP框架中的远程代码执行（RCE）漏洞进行传播。恶意变种通过Telnet使用出厂默认凭证来强制进入并传播到其它设备，一旦感染Linux机器，它将成为僵尸网络的一部分，促使分布式拒绝服务（DDoS）攻击。Miori启用Telnet暴力破解其它IP地址，从端口42352 (TCP/UDP) 侦听C2服务器命令，然后发送命令以验证目标系统的感染情况。研究人员通过解密嵌入的二进制配置表，发现恶意软件使用简单易猜测的用户名和密码，并且均使用字符串反混淆技术。APEP还利用CVE-2017-17215进行传播，目前已发布了针对该漏洞的缓解措施。


https://blog.trendmicro.com/tren ... -execution-exploit/

---

4 僵尸网络Danabot变种攻击意大利金融用户

Yoroi ZLab发现最近僵尸网络Danabot新变种攻击了意大利多金融机构用户。攻击活动分发邮件为主题的网络钓鱼邮件，通过启用恶意宏文档，下载恶意DLL有效载荷，释放最终的恶意软件。恶意软件尝试通过加密的SSL通道连接到远程主机，下载其它组件并从文件系统中 删除自身。恶意软件植入至少加载库两次，导出f1至f8的8个关键功能，搜索存储在已安装web浏览器数据文件夹中的敏感信息，保存到临时sqlite数据库中。注入网页的恶意javascript会将被盗信息发送给C2，包括受害者的会话cookie，以便渗透已经过身份验证的会话。恶意软件使用自定义JQuery脚本来标识受感染机器的id.研究人员表示此次攻击可能是由负责过去Gootkit攻击的同一个组织发起，Yoroi 称为TH-106。


https://blog.yoroi.company/resea ... od-targeting-italy/

---

5 Windows零日漏洞允许攻击者任意读取文件

名为SandboxEscaper安全研究人员发现了第三个Microsoft Windows中存在的任意文件读取0day漏洞，并提供了利用代码。该漏洞影响ReadFile.exe，允许攻击者从特定位置读取数据。故障位于“ MsiAdvertiseProduct ”功能中，Microsoft将其描述 为能够生成广告脚本或将产品通告给计算机，使安装程序将注册表和用于分配或发布产品的快捷信息写入脚本。而调用此函数会导致安装程序服务进行任意文件复制，攻击者可以控制该文件，并且可以通过检查使用时间（TOCTOU）竞争条件类型来绕过保护，最终可以复制具有系统权限的任何文件，并始终可读。


https://www.bleepingcomputer.com ... ystem-level-access/

---

6 亚马逊Alexa声控助手失误泄露用户个人隐私

德国一家科技杂志称，亚马逊(Amazon)Alexa声控助手泄露了用户的个人隐私。一个用户在使用Alexa时，要求把公司存储的数据发给他，然后该用户收到了大约1700个音频文件和一份PDF文档，里面收录了包含用户隐私细节的录音的未分类文本，根据音频可以识别出具体用户。亚马逊表示该事件由人为失误导致，目前已经解决了受影响的用户的问题，并将进一步Alexa改善流程。


https://www.koat.com/article/ale ... eport-says/25648080

---