每日安全简讯(20190329)

1 拉撒路组织针对以色列国防公司进行攻击

ClearSky研究人员表示拉撒路组织新攻击活动针对以色列一家国防公司，进行间谍活动。以色列国防公司的一名员工于3月7日收到一封网络钓鱼电子邮件，攻击者利用了WinRAR软件中的漏洞。研究人员分析代码后表示攻击者启用了韩语设置，并且恶意附件能够绕过公司的电子邮件过滤保护。


https://www.cyberscoop.com/lazar ... ny-researchers-say/

---

2 Gustuff高级木马从100多家银行窃取资金

一个名为Gustuff的高级银行木马从全球100多家银行的账户中窃取资金，并劫持32个加密货币钱包应用程序用户的账户。在受感染的设备上，Gustuff使用Android辅助功能服务与其他应用程序的屏幕进行交互，这使它能够绕过针对以往银行木马的检测及更高版本的Android中的Google安全策略。恶意软件的一个功能是关闭Android Play上的内置反恶意软件保护，其代码可以降低70％的Google防御。Gustuff通过检索受感染手机的联系人列表并发送带有其APK安装文件链接的消息传播，其C2服务器上的数据库也用于传播恶意软件。Gustuff的另一项功能是使用合法应用程序中的图标显示假推送通知。


https://www.bleepingcomputer.com ... ryptocurrency-apps/

---

3 研究人员发布LockerGoga新变种细节分析

F-Secure研究人员发现LockerGoga勒索软件新变种，新变种在很大程度上依赖于不太常用的Boost库。新变种文件枚举和文件加密的功能分为不同的进程，并且使用Boost.Interprocess库进行文件路径共享，这使得分别分析进程变得更加困难。新变种主要功能在“master”进程内，通过枚举受感染系统上的文件并执行子进程来加密文件。开始加密之前“master”进程会枚举会话并关闭出当前会话意外的其他会话。在加密之后，“master”进程枚举所有网络接口并禁用它们，然后通过“.bat”文件删除可执行文件，最后注销当前进程的会话。


https://labsblog.f-secure.com/20 ... kergoga-ransomware/

---

4 海外版UC浏览器中漏洞可能导致中间人攻击

Dr.Web研究人员发现UC浏览器存在中间人攻击漏洞，允许远程攻击者将恶意模块推送到目标设备。UC浏览器可以从远程服务器下载可执行的Linux组件，其本身并不存在恶意行为，只是为了方便打开office、PDF文档。下载之后，该组件会保存到其目录下以供执行。这也意味着，UC浏览器存在直接绕过 Google Play 服务器直接接受和执行代码，这为中间人攻击提供了可能。根据 BleepingComputer 的测试结果，桌面端UC浏览器可能同样容易遭受中间人攻击，导致攻击者可以在用户电脑上下载恶意拓展。UC浏览器官方回应表示UC浏览器海外版本受到漏洞影响，目前已修复，国内版本不受漏洞影响。


https://www.freebuf.com/news/199358.html

---

5 NVIDIA修复Geforce Experience软件漏洞

NVIDIA Geforce Experience软件中存在漏洞CVE-2019-5674。该漏洞是由于NVIDIA Geforce Experience软件再打开文件时不会检查硬链接导致的，影响NVIDIA Geforce Experience3.18之前的所有版本。攻击者可利用该漏洞升级权限、执行代码以及进行拒绝服务（DoS）攻击。NVIDIA发布了一个安全更新，建议用户尽快升级到3.18版本。


https://cyware.com/news/nvidia-p ... os-attacks-f6cfc036

---

6 研究人员发现Apache Solr中反序列化相关漏洞

Apache Solr是一个基于Java Lucene的开源企业搜索平台，研究人员在Apache Solr中发现了反序列化相关的严重漏洞CVE-2019-0192。该漏洞是由对Config API的请求验证不充分引起的。攻击者可利用此安全漏洞在服务器应用程序的上下文中执行任意代码。受影响的版本包括Apache Solr 5.0.0至5.5.5和6.0.0至6.6.5。研究人员已发布针对该漏洞的概念验证（PoC）。建议用户修补或升级到7.0或更高版本还，并且在不使用时禁用或限制Config API。


https://blog.trendmicro.com/tren ... ion-in-apache-solr/

---