每日安全简讯(20190504)

1 研究人员发布APT34组织 Glimpse项目分析

伊朗威胁组织APT34主要在中东开展活动，主要针对金融、政府、能源、化工、电信等行业进行攻击。Glimpse项目中，软件包附带一个README文件，名为“Read me.txt”。内容是如何设置nodejs服务器和运行单机.NET应用程序来控制受感染计算机的Windows服务器的简单指南。名为“runner_.vbs”的.VBS脚本是PowerShell有效载荷，可以执行多个功能。有效载荷等待来自C2的指令，并通过基于变量请求子域来响应C2。有效载荷主要是一个交付模块，其中一些额外的控制完全基于DNS隐蔽通道。命令和控制由一个通过文件工作的独立.NET应用程序实现。


https://marcoramilli.com/2019/05/02/apt34-glimpse-project/

---

2 Telangana和AP电力公司受到勒索软件攻击

警方5月2日表示，Telangana和Andhra Pradesh State电力公司的计算机系统受到勒索软件攻击导致所有服务器关闭，Telangana电力公司的一名工作人员收到了一个未知邮件，点击邮件后恶意软件感染了整个系统。由于相互联系，Andhra Pradesh State计算机系统也受到勒索软件攻击，海德拉巴警方的网络犯罪部门已开始进行调查。


https://www.deccanherald.com/nat ... ilities-731810.html

---

3 研究人员发现Qakbot银行木马采用新混淆技术

Qakbot，也称为Qbot，是一个自2008年以来一直存在的银行木马。Qakbot 长期以来一直利用计划任务来维持持久性，思科研究人员发现计划任务的更新并可能逃避检测。Cisco Talos首次发现2019年4月2日对已观测到的被劫持域名的请求激增。这与2019年3月19日对这些域名进行的DNS更改相吻合。攻击者在3月15日更新了代码，Qbot持久新机制的变化与其新活动相符合。Qakbot在下载并保存在两个单独的文件中时会被混淆。攻击者还使用type命令对这些文件进行解密和重组。因此，Qakbot的更新版本可以逃避通过查看恶意可执行文件的完整传输的检测。


https://blog.talosintelligence.c ... ew-obfuscation.html

---

4 安全厂商发布Magecart组织新攻击活动分析

RiskIQ研究人员发现了一些Magecart攻击，涉及许多不同的工具和策略，如注入类型、窃取器复杂程度和入侵方法。Magecart攻击中有相当一部分涉及第三方支付平台。运行Magento的商店仍然是Magecart的主要目标，但所有支付平台都是Magecart的目标，如OpenCart和OSCommerce等。Magecart组织目前专注于窃取支付数据，但研究人员发现了该组织浏览登录凭据和其他敏感信息的行为，表明未来很可能出现新的窃取攻击。


https://www.riskiq.com/blog/labs/magecart-beyond-magento/

---

5 安全厂商发布MegaLocker和NamPoHyu解密器

Emsisoft发布了MegaLocker和NamPoHyu Virus勒索软件的解密器，该软件一直针对暴露的Samba服务器。受害者现在可以使用此解密器免费恢复他们的文件。下载后，用户需确保具有Internet连接，然后启动解密器。启动后，浏览并选择勒索信息，解密器会尝试恢复解密密钥。勒索软件开发者声称要改变使用的加密算法，但在此之前用户仍然可以利用解密器恢复文件。


https://www.bleepingcomputer.com ... ansomware-released/

---

6 美国能源公司受拒绝服务条件影响导致系统脱机

根据为美国西部几个州提供电力的能源公司向能源部提交的电力紧急和干扰报告，该公司经历了严重的“拒绝服务条件”，导致3月5日电气系统运行中断超过10小时。美国能源部发言人表示，事件并未影响发电，电网的可靠性或导致任何客户中断。能源部继续通过ISAC与行业合作伙伴合作，确保传播适当的缓解信息，以管理其相关风险。


https://techcrunch.com/2019/05/02/ddos-attack-california-energy/

---