每日安全简讯(20190221)

1 安全厂商发现Lazarus组织对俄攻击活动

研究人员首次观察到朝鲜APT组织Lazarus针对俄罗斯的联合攻击活动。长期以来安全界认为Lazarus至少分为两个部分：Andariel主要侧重于攻击韩国政府和组织，Bluenoroff主要关注盈利和全球间谍活动。此次活动中使用的文档在1月26日至31日从俄罗斯上传至VT，元数据包含韩语代码页，图像包含西里尔字符。感染链分为三个步骤：1、ZIP文件包含仿冒俄罗斯软件复制保护解决方案的良性诱饵PDF文档，和带有恶意宏Word文档。宏不包含任何高级的混淆技巧导致没有在VT上被许多安全厂商检测到。2、恶意宏从Dropbox URL下载并执行VBS脚本。3、VBS脚本从位于伊拉克的受感染服务器上，下载伪装成JPEG图像的CAB文件，使用Windows“expand.exe”实用程序提取嵌入的EXE文件，最后执行后门KEYMARBLE RAT。部分攻击中攻击者跳过第二阶段以加快感染速率。该后门利用开源McbDES2代码来使用DES算法解密函数名。使用开源代码存储库wolfSSL，用于向C2服务器验证客户端身份并加密通信。


https://research.checkpoint.com/ ... st-russian-targets/

---

2 俄罗斯APT28攻击欧洲国家政治实体

微软发现俄罗斯APT28针对欧洲政治实体的新网络攻击，其主要目标为在5月举行的2019年欧洲议会选举的政治组织，攻击活动已扩展到与政府官员接触的智库和非营利组织。微软表示在2018年9月至12月期间发现了针对104个账户的鱼叉式网络钓鱼攻击，这些账户属于相关政治组织的员工，这些组织位于比利时，法国，德国，波兰，罗马尼亚和塞尔维亚。微软表示它还将其AccountGuard服务（包括一套安全工具和服务）扩展到12个新的欧盟国家：法国，德国，瑞典，丹麦，荷兰，芬兰，爱沙尼亚，拉脱维亚，立陶宛，葡萄牙，斯洛伐克和西班牙。


https://www.zdnet.com/article/mi ... political-entities/

---

3 伪装DHL钓鱼活动针对全球传播Muncy

近日恶意软件Muncy伪装成DHL发货通知，针对全球用户开展网络钓鱼攻击活动。钓鱼邮件伪装成物流巨头DHL，攻击者利用使用SMTP服务器来利用受损服务器的配置，将发货通知发送给用户。此时恶意软件是打包的，用户初始执行后，将创建并执行新进程来解压缩恶意软件。该进程在用户的C盘驱动器中执行批量扫描，扫描用户的计算机并收集信息，包括FTP数据，发送到攻击者管理的域。Muncy恶意软件是一个.exe文件，VisualBasic 6.0中开发，使用p代码编译，目前未发现使用持久性机制。


https://seguranca-informatica.pt ... G0MUHIzaUl%E3%80%91

---

4 研究人员发现盗取ATM资金木马WinPot

研究人员发现了简单有效的恶意软件WinPot，其目的为让一家受欢迎的ATM供应商自动分配ATM，可以自动从最有价值的磁带中提取现金，研究人员将其称为ATMPot。WinPot的每个盒式磁带都有一个编号为1到4的卷轴和一个标有SPIN的按钮。一旦按下旋转按钮，ATM开始从相应的盒式磁带分配现金。WinPot变种进行了少量修改，包括更改的打包器（如Yoda和UPX）、更新的时间段。ATMPot V3在暗网进行销售，价格约为500到1000美元，其外观和机制与Stimulator非常相似。目前网络诈骗攻击者还在进一步对软件进行修改，包括使用保护器等欺骗ATM安全系统、克服潜在的ATM限制、改进界面和错误处理例程、防止被滥用。


https://securelist.com/atm-robber-winpot/89611/

---

5 安全厂商发布GandCrab v5.1解密工具

Bitdefender实验室与与罗马尼亚警方、欧洲刑警组织和其他执法机构合作，发布针对所有版本的新解密器GandCrab v5.1，这是该实验室发布的第三个GandCrab解密器。GandCrab在全球范围内已造成了数亿美元的损失，已成为最流行的勒索软件家族之一。近日GandCrab开始通过托管服务提供商用来管理客户工作站的远程IT支持软件中的漏洞，投送勒索软件。


https://labs.bitdefender.com/201 ... ptor-available-now/

---

6 分析显示7成银行未准备好应对网络攻击

Group-IB基于2018年安全事件，对高科技网络犯罪进行了分析。分析显示，黑客仍然以金融业为目标，而74％的银行尚未准备好应对网络攻击，29％银行有活跃的恶意软件感染，52％的案例中存在重复感染，包括“连锁反应”的跨境袭击，导致金融机构多次感染。超过60％的银行无法集中管理其网络，特别是在地理位置分散的基础设施中，大约80％金融机构对于超过一个月的事件，没有进行深度日志记录，超过65％金融机构协调部门之间的工作效率低。与2017年相比，事件总数增加了一倍以上，活动类型包括针对性攻击、间谍活动、勒索软件攻击、挖矿。


https://securityaffairs.co/wordp ... -cyber-attacks.html

---