每日安全简讯(20190625)

1 安天发布利用ElasticSearch漏洞挖矿活动分析

2019年6月13日，安天蜜网捕获到利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。该漏洞原理是Elaticsearch将groovy作为脚本语言，并使用基于黑白名单的沙盒机制限制危险代码执行，但该机制不够严格，可以被绕过，从而导致出现远程代码执行的情况。攻击者通过groovy作为脚本语言，向_search?pretty页面发送一段带有恶意链接的json脚本，进行恶意shell脚本下载，从而实现远程代码攻击，并进行挖矿行为。


https://mp.weixin.qq.com/s/gbYzOTLxjfCZ1dzUjeW-rw

---

2 攻击者利用Exim邮件服务漏洞传播恶意软件

Yoroi研究人员观察到攻击者开始利用Exim邮件服务漏洞CVE-2019-10149传播恶意软件。Exim是一个消息传输代理（MTA），用于连接到互联网的Unix系统。安全研究员首先发现的SSH反向shell，它利用ToR网络来分发有效载荷，或者试图下载特定的Linux代理。


https://blog.yoroi.company/resea ... ooks-start-hitting/

---

3 研究人员发现Agent Tesla的无文件攻击活动

研究人员发现传播AgentTesla键盘记录器的垃圾邮件活动。邮件附件包含的".exe"文件为下载器，首先从远程下载base64编码的dll文件组件，其利用了半合法的Pastebin来托管恶意软件，下载器将其转换为可执行文件，最后再内存中运行窃取用户信息。


https://myonlinesecurity.co.uk/m ... s-fileless-malware/

---

4 Eurofins遭到勒索软件攻击影响英国警方工作

全球科学测试服务提供商Eurofins在6月初遭到勒索软件攻击，影响了部分IT系统。公司立即关闭了其它系统和服务器，以将损失降到最低。英国警方已暂停了与该公司的所有合作。该公司周一表示目前为止通过内部和外部IT取证专家调查，还未发现任何未经授权的窃取或转移机密客户数据的证据，运营正在恢复正常，目前还很难估计这次攻击影响财务的结果。


https://www.helpnetsecurity.com/ ... -ransomware-attack/

---

5 PC-Doctor组件漏洞可致数亿电脑遭黑客攻击

SafeBreach专家发现预装在全球超过1亿台戴尔电脑上的PC-Doctor support portassist软件存在DLL劫持漏洞，该漏洞被跟踪为CVE-2019-12280。SupportAssist用于检查系统硬件和软件的健康状况，当检测到问题时，它将必要的系统状态信息发送给Dell，以便开始进行故障排除。该漏洞可能被具有常规用户权限的攻击者利用，通过在特定位置植入恶意DLL文件来执行具有高权限的任意代码。该漏洞还允许攻击者通过签名服务来加载和执行有效载荷。引发该漏洞的根本原因是缺乏安全的DLL加载以及缺少针对二进制文件的数字证书验证。戴尔已发布安全更新，修复该漏洞。


https://securityaffairs.co/wordp ... component-flaw.html

---

6 网络骗局冒充比加密货币赠品在Twitter上传播

安全研究人员在Twitter上发现冒充加密货币赠品新网络诈骗活动，如果用户发送到所列出地址在.05到5比特币或.5到50以太坊之间，则将收到十次的诈骗消息。攻击者冒充Elon Musk，John McAfee和其他名人的Twitter帐户，其包含关于加密货币赠品的链接，欺诈页面将显示一个加密货币池，其包含还可供分发的加密货币数量的指示器，以及据称正在发送到加密货币地址和从加密货币地址发送交易的实时流媒体列表，还包含利用名人宣传该活动的其它虚假网站页面。然后将要求用户需要先将加密货币发送到相应的地址，在不返回用户赠品加密货币的情况下，成功窃取加密货币。


https://www.bleepingcomputer.com ... currency-giveaways/

---