每日安全简讯(20190222)

1 CNCERT发布家用路由器DNS被篡改情况通报

2月19日，CNCERT监测发现，境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉赌网站。经研判，这是一起典型的由互联网地下黑色产业争斗引发的网络安全事件。发生域名劫持的家用路由器DNS地址被黑客恶意篡改为江苏省镇江市、扬州市等地址段的多个IP地址，这些IP地址提供DNS解析服务，并将部分涉黄涉赌类网站域名解析劫持到江苏省镇江市地址段的部分IP地址，最终将用户访问跳转至一博彩类网站。此次事件影响了遍布我国境内全部省份的IP地址400万余个，被劫持的涉黄涉赌类域名190余个，暂未发现合法的知名商业网站、政府类网站域名被劫持的情况。


https://mp.weixin.qq.com/s/5ZOhusBPwQ0WdTBgrStfMg

---

2 APT攻击活动“圆桌会议”假借特金峰会主题

安全厂商发现于2019年2月21日创建的新APT攻击活动，此次攻击被称为“圆桌会议”（“Operation Round Table”）。鱼叉式钓鱼邮件附件为HWP文件，内容假借即将举行的特金第二次峰会中美朝领导人会晤邀请。文件内部“BinData”流程中“BIN0003.eps”包含恶意PostScript，PostScript代码中包含一个shellcode，shellcode包含C2地址。一旦PostScript被触发，将与C2进行通信并接受命令，通信数据采用'down.php'命令加密。该C2还尝试与韩国的特定服务器通信。此次攻击活动TTP与2018年11月的“黑色豪华轿车”（“Operation Black Limousine”）非常相似。


https://blog.alyac.co.kr/2140

---

3 研究人员揭示恶意软件加载器Brushaloader

研究人员对下载器Brushaloader的活动进行了梳理分析。Brushaloader最早被发现是在2018年8月针对波兰的攻击活动中。Brushaloader目前的特点是使用各种脚本元素，如PowerShell，以最大限度地减少受感染系统上的工件数量。Brushaloader还利用VBScript和PowerShell的组合来创建远程访问木马（RAT），木马允许在受感染的系统上执行持久性命令。Brushaloader使用sleep（）定时器、加密邮件附件等反分析功能。在1月下旬最新的攻击中，广泛分发的垃圾邮件附件为包含.vbs的恶意RAR文件，文件主题为发票，使用波兰语和意大利语，从以前用于执行命令的wscript转向PowerShell，来收集系统信息，并提供载荷，使用HTTPS与C2通信。


https://blog.talosintelligence.c ... shaloader.html#more

---

4 黑客利用攻击套件传播针对门罗币挖矿工具

研究人员在1月末和2月之间，发现黑客针对意大利、中国传播门罗币（Monero）挖矿工具的攻击活动。恶意软件从受感染的网站上或被其它恶意软件被下载到系统中，随机释放到Windows目录中，删除旧版本以确保感染更新。使用工具MIMKATZ收集用户帐户和系统凭据，连接到多个URL和IP地址发送信息。利用工具RADMIN（获得管理员权限和释放其它恶意软件）远程执行命令，释放.exe文件，解密并执行Monero挖矿工具。同时扫描开放端口445并利用Windows SMB服务器漏洞MS17-010继续传播。


https://blog.trendmicro.com/tren ... -via-vulnerability/

---

5 勒索软件Shade针对俄罗斯开展新攻击活动

在1月至2月期间，勒索软件Shade（Treshold）对俄罗斯展开了新攻击。Shade自2015年以来开始大规模攻击俄罗斯。此次活动中攻击者冒充俄罗斯石油和天然气公司，发送网路钓鱼邮件，俄语编写的JavaScript文件附件充当下载器，使用一系列硬编码地址进行混淆。JavaScript下载程序从通过蠕虫模块暴力破解获得受损网站（主要为WordPress和Joomla CMS）下载有效载荷，并上传可执行代码的副本，不断创建备份副本，提高接管能力。Shade使用嵌入式TOR库连接到其C2服务器，并下载其它模块，如挖矿程序ZCash、CMSBrute。Shade使用AES加密所有用户文件，文件名后缀为“.crypted000007”，并在每个系统的文件夹中创建赎金票据，文本为英语和俄语。


https://blog.yoroi.company/resea ... f-shade-ransomware/

---

6 WinRAR存在长达19年的严重安全漏洞

安全团队发现并公布了存在WinRAR中长达19年严重安全漏洞。该漏洞存在于所有WinRAR版本中包含的UNACEV2.DLL库中，该库负责以ACE格式解压缩档案，而自2005年起WinRAR已经停止更新UNACEV2.DLL，并决定放弃ACE归档格式支持。研究人员在其中发现了一个路径遍历漏洞，可以把被压缩文件的文件提取到任意文件夹。攻击者通过利用恶意ACE档案伪装成RAR文件，用户在解压恶意的压缩文档时，WinRAR软件将恶意代码解压至系统自启动目录，当用户下次登陆电脑时系统将自动运行释放的恶意代码。漏洞在CVE-2018-20250、CVE-2018-20251、CVE-2018-20252和CVE-2018-20253标识下进行跟踪。WinRAR可能是目前全球用户最多的解压缩软件，可能有超过5亿用户面临风险。该漏洞影响WinRAR 5.61及以前的版本，建议用户尽快更新至版本v.5.70 beta 1。


https://research.checkpoint.com/ ... cution-from-winrar/

---