每日安全简讯(20200513)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Hangover使用BackConfig攻击南亚政府和军事组织

在过去四个月中，Unit 42研究人员观察到Hangover（又名白象）组织使用BackConfig恶意软件针对包括南亚政府和军事组织的攻击活动。初始感染使用武器化的Microsoft Excel（XLS）文档，文档通过被入侵的合法网站提供。Excel文档包含VBA宏代码，宏代码启用后，创建文本文件Drive.txt，并将批处理文件写入另一个文本文件Audio.txt，重命名为Audio.bat执行。批处理会清理与先前感染相关的所有文件和文件夹，并重新创建所需环境。批处理文件还创建两个计划的任务来引用两个尚不存在的文件dphc.exe每隔10分钟运行一次和Drive.vbs每隔20分钟运行一次。最后，再删除自身之前，批处理文件会将Drive.txt重命名为Drive.vbs，Drive.vbs将下载BackConfig可执行文件dphc.exe。


https://unit42.paloaltonetworks. ... tary-organizations/

---

2 攻击者利用JsOutProx RAT攻击印度政府和金融机构

2020年4月，ThreatLabZ观察到几次针对印度政府机构和银行的针对性攻击事件。钓鱼邮件已发送给印度储备银行（RBI）、IDBI银行、国家农业银行内部的再融资部门(DOR)、农村发展银行（NABARD），邮件附件包含基于JavaScript和java的后门，其中基于JavaScript后门为JsOutProx RAT，基于Java的后门与JsOutProx RAT功能相似。在针对NABARD政府官员的示例中，研究人员分析发现电子邮件来自波兰托管服务提供商，邮件主题与财务相关，附件为ZIP存档，其包含一个恶意HTA文件。HTA文件包含一个编码的JavaScript代码，执行时会进行base64解码和RC4解密。然后，使用mshta执行。JsOutProx RAT包含的例程从系统收集不同类型的信息，并将其以HTTP POST请求的形式发送到C2服务器。


https://www.zscaler.com/blogs/re ... using-jsoutprox-rat

---

3 研究人员发现Astaroth信息窃取软件积极攻击巴西用户

在过去9到12个月期间，Astaroth信息窃取软件使用包括COVID-19在内的多种主题诱饵内容来攻击巴西用户。初始感染利用葡萄牙语的电子邮件，邮件带有有效的诱饵内容。用户单击电子邮件中的链接，将被定向到攻击者的服务器。然后，从Google基础架构下载的带有LNK文件的ZIP文件，最终投送Astaroth有效载荷，期间使用大量的反分析和逃避检查手法。Astaroth与C2服务器通信的主要方式是使用Youtube频道说明检索C2域。


https://blog.talosintelligence.com/2020/05/astaroth-analysis.html

---

4 研究人员发现用于发动DDoS攻击的恶意安卓应用程序

ESET研究人员发现了一个用于发动DDoS攻击的恶意安卓应用程序。该恶意程序名为“安卓更新”，具有一个相应的非恶意网站，网站显示为“每日新闻更新”。恶意程序在2020年1月针对ESET全球网站发起攻击，该攻击持续了7个小时，使用了4000多个唯一的IP地址。研究人员分析显示，此次攻击使用了数千个该应用程序的实例，这些实例当时在官方的安卓应用程序商店中可用。该应用程序唯一的恶意功能依赖于它从攻击者控制的服务器加载JavaScript并在用户设备上执行的能力。目前，谷歌已将该恶意程序在谷歌应用商店中删除。


https://www.welivesecurity.com/2 ... rings-ddos-attacks/

---

5 ATM制造商Diebold Nixdorf遭勒索软件ProLock攻击

ATM制造商Diebold Nixdorf表示，其遭遇勒索软件攻击。该事件仅造成有限的IT系统中断，并没有影响ATM、客户网络或公众。该公司无法提供任何其他详细信息，但有安全人员表示，此次攻击发生在4月25日，其涉及一个名为ProLock的勒索软件，它是PwndLocker的继承者。


https://www.securityweek.com/atm ... dorf-hit-ransomware

---

6 伊朗霍尔木兹海峡的Shahid Rajaei港口遭到网络攻击

伊朗官员宣布，黑客入侵了阿巴斯港市的Shahid Rajaei港口并破坏了少数计算机。阿巴斯港市是伊朗南部海岸波斯湾的霍尔木兹甘省的省会。该市在霍尔木兹海峡上占有战略位置，是伊朗海军的主要基地所在地。该港口的运营受到网络攻击的影响，但伊朗官员没有透露网络攻击细节。


https://securityaffairs.co/wordp ... rt-cyberattack.html

---