每日安全简讯(20200502)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安全厂商披露OceanLotus组织的PhantomLance活动

卡巴斯基研究人员针对Dr.Web在2019年7月披露的Google Play中的一个后门木马进行调查分析，发现了一个与OceanLotus APT组织相关的长期攻击活动，并将该活动称为PhantomLance。该活动中最早的注册域名可追溯到2015年12月。研究人员发现了数十个自2016年以来的相关样本，其被部署在包括Google Play在内的各种应用商店中。最新的示例之一已于2019年11月6日在官方安卓应用商店上发布，谷歌目前已将其删除。研究人员发现该活动与OceanLotus组织以前的安卓活动，在代码上有很多相似之处，还有macOS后门、Windows后门的基础设施重叠和一些跨平台的相似之处。研究人员已观察到从2016年开始该活动在印度、越南、孟加拉国、印度尼西亚等地大约300起针对安卓设备的感染攻击。


https://securelist.com/apt-phantomlance/96772/

---

2 安全厂商发现针对全球高管的网络钓鱼活动

Group-IB发现针对全球150多家公司的管理层和高管的网络钓鱼活动。该活动至少从2019年中开始一直活跃，由于该活动对Microsoft Sway的广泛利用而将其称为PerSwaysion。研究人员将该活动归咎于讲越南语的开发者和尼日利亚的操纵者。网络犯罪组织已获取访问许多金融服务公司、律师事务所和房地产集团的MS Office365企业机密邮件。


https://www.group-ib.com/media/perswaysion/

---

3 黑客利用WordPress网站分发Adwind RAT

自2020年4月的第一周以来，Zscaler ThreatLabZ团队观察到托管在受感染WordPress网站上的几个恶意Java存档（JAR）文件实例。这些JAR文件使用了多层加密来保护其最终的有效载荷，即Adwind远程访问木马（RAT）。所有受感染网站都使用WordPress的内容管理系统（CMS）。攻击者经常利用WordPress插件中的漏洞来访问CMS的管理面板，一旦获得访问权限，就可将其有效载荷托管到服务器上。但在该活动中，大多数受感染网站使用了WordPress的最新版本。研究人员在受感染WordPress网站上发现了攻击者用来控制Web服务器的PHP Web shell。有效载荷的文件名根据不同主题（从冠状病毒到付款发票和运输服务）而有所不同，并使用Qarallax密码服务实现多层加密。


https://www.zscaler.com/blogs/re ... stribute-adwind-rat

---

4 Zoom安装程序被捆绑传播WebMonitor RAT

趋势科技研究人员近日发现非官方的合法Zoom安装程序被捆绑传播WebMonitor RAT。被利用的Zoom安装程序已更新至版本5.0，可执行文件ZoomInstaller.exe包含合法Zoom安装程序和RevCode WebMonitor RAT文件。运行后，可执行文件将释放名为Zoom.exe的副本，并打开进程notepad.exe运行该副本。WebMonitor RAT将连接URL执行来自远程恶意用户的命令。可执行文件还会将文件Zoom.vbs拖放到Windows用户启动文件夹中，以在每次系统启动时自动执行。可执行文件如果检测到连接到某些调试或安全工具的进程、在虚拟环境中执行或找到与恶意软件、样本、沙箱等文件类似的文件名，将自行终止运行。


https://blog.trendmicro.com/tren ... ith-zoom-installer/

---

5 研究人员发现针对跨国企业的Cerberus变种

Check Point研究人员发现了针对跨国企业集团的Cerberus安卓银行木马变种，其利用该公司的移动设备管理器(MDM)服务器分发。攻击者获得客户的MDM访问权限后，利用MDM远程安装应用程序的能力，来安装Cerberus木马变种。该变种可收集大量敏感数据（包括用户凭据），并将其发送到远程命令和控制（C＆C）服务器。Cerberus已感染了该公司超过75％的设备。


https://research.checkpoint.com/ ... k-vector-using-mdm/

---

6 安全厂商发布Shade勒索软件解密程序

卡巴斯基研究人员发布针对Shade勒索软件的解密程序，该程序可解密所有被Shade勒索软件加密的文件。Shade（又称Troldesh）勒索软件于2015年开始传播，加密文档、图片、存档(以及一些其他类型的文件)，然后要求受害者支付赎金。不同的变种使用了breaking_bad、da_vinci_code等文件扩展名。Shade还可在加密文件之后，下载其它恶意软件。在2019年末和2020年初，Shade幕后组织宣布停止运营该勒索软件，并公布了大约75万个密钥来解密这些文件。


https://www.kaspersky.com/blog/shade-decryptor-2020/35246/

---