每日安全简讯(20190502)

1 安全厂商发布OilRig组织数据转储技术分析

最近，声称为OilRig活动有关的数据转储被公布，Unit 42研究人员发现数据转储中包含的组件确实与已知的OilRigOilRig策略、技术和程序（TTP）一致。数据转储包括与OilRig组织相关联的两个后门BONDUPDATER以及Glimpse工具，Glimpse工具与研究人员在2018年9月发布的报告中发现的更新的BONDUPDATER工具有关。数据转储中的第二个后门名为Poison Frog，疑似用于中东目标攻击的BONDUPDATER的变种。转储中包含的三个webshell，分别名HyperShell、HighShell和Minion。Minion很可能是基于代码、文件名和功能重叠的HighShell变种。HyperShell和HighShell是TwoFace的变种，其中HyperShell与TwoFace加载器相关，而HighShell与TwoFace有效载荷相关。数据转储中还包括一个名为webmask的工具，该工具是专门用于执行DNS劫持的脚本。


https://unit42.paloaltonetworks. ... scenes-with-oilrig/

---

2 Sodinokibi勒索软件利用WebLogic漏洞攻击

攻击者正在积极利用Oracle WebLogic中最近披露的漏洞 CVE-2019-2725来安装名为“Sodinokibi”的新勒索软件变种。勒索软件攻击的最初阶段发生在4月25日，4月26日Oracle发布了安全更新。利用Oracle WebLogic漏洞，攻击者无需用户交互就可以使导致受影响的服务器从攻击者控制的IP地址下载勒索软件。研究人员发现在完成在受害者网络内部署Sodinokibi勒索软件后，攻击者会在同一目标上下载其它勒索软件，如Gandcrab v5.2。


https://blog.talosintelligence.c ... loits-weblogic.html

---

3 Buhtrap和RTM后门针对俄罗斯组织进行攻击

ESET研究人员发现攻击者使用Buhtrap和RTM后门，以及勒索软件挖矿软件针对俄罗斯组织进行攻击。恶意软件活动始于2018年10月下旬，到发布报告时仍然活跃。通过Yandex.Direct发布恶意广告可以实现定位，将目标重定向到包含伪装成文档模板的恶意下载的网站。恶意文件都托管在两个不同的GitHub存储库中，GitHub上托管了六个不同的恶意软件，包括：Win32/ClipBanker、Win32/RTM、Buhtrap、Android/Spy.Banker和MSIL / ClipBanker.IH。


https://www.welivesecurity.com/2 ... vertising-platform/

---

4 黑客将Windows零日出售给APT组织超过三年

卡巴斯基实验室的研究人员表示过去的三年里，一名黑客向至少三个网络间谍组织以及网络犯罪团伙销售Windows零日。黑客曾经使用昵称BuggiCorp，在Exploit.in论坛上出售Windows零日，而后在科技新闻网站上做了大量宣传。卡巴斯基研究团队一直用昵称Volodya跟踪该黑客，Volodya是Volodimir的缩写，这是该黑客代码中出现的字符。研究人员表示Volodya是2019年3月向微软报告的CVE-2019-0859漏洞和Windows漏洞CVE-2016-7255的作者，CVE-2016-7255与俄罗斯APT组织俄罗斯APT28有关。


https://www.zdnet.com/article/my ... ps-for-three-years/

---

5 Justdial API中存在漏洞可暴露浏览者个人信息

Justdial是印度著名的本地搜索引擎之一，研究人员发现Justdial API的一个主要漏洞，该漏洞暴露了该平台的浏览者数据库。这是该公司第二次数据泄露。早些时候Justdial数据库漏洞暴露了其一亿多名用户的详细信息。研究人员表示自公司成立以来，连接到Justdial的浏览者数据库的API一直未得到保护。这个漏洞意味着评论者的姓名、手机号码和位置在互联网上公开发布。Justdial已经解决了导致数据泄露的问题，Justdial发言人表示，所有敏感信息（包括属于客户的财务信息）都受到行业惯例的保护。


https://inc42.com/buzz/justdial-database-leak-reviewer-data/

---

6 Tommy Hilfiger日本网站泄露数万名客户数据

研究人员在Tommy Hilfiger日本网站上发现了一个安全漏洞，可导致数万名客户的个人信息在线暴露。漏洞源于Elasticsearch数据库配置错误。研究人员利用漏洞获取了对客户数据的访问权限，泄露的信息包括全名、地址、电话号码、电子邮件地址和出生日期。尽管泄露的数据库不包括信用卡等财务信息，但泄露了交易信息，包括购买日期、订单总数、会员ID号码，以及订单详细信息。研究人员表示泄露的数据可追溯到2014年。


https://www.forbes.com/sites/ajd ... was-exposed-online/

---