每日安全简讯(20200704)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 恶意活动使用AutoIt脚本投送CyberGate RAT

Zscaler研究人员近日发现一个新恶意软件活动，该活动使用AutoIt脚本来投送CyberGate RAT和RedLine Stealer变种。两个恶意软件使用相同的打包器打包，并使用相同的有效载荷传送机制。恶意软件通过垃圾邮件所带的链接或Word文档附件开始传播。然后，从区块链交易所钓鱼网站下载自解压存档（SFX），其中包含一个Cab文件和用于执行嵌入文件的命令行脚本。Cab文件包含加密有效载荷、AutoIt脚本和执行该脚本的文件。命令行脚本将执行Cab文件中包含文件，最终的有效载荷CyberGate RAT或RedLine Stealer仅在内存中解密并执行。


https://www.zscaler.com/blogs/re ... t-malware-campaigns

---

2 安全团队发现投放Agent Tesla的钓鱼活动

Deep Instinct的研究团队发现了一项新的攻击活动。感染链从附加到网络钓鱼电子邮件的RTF文档开始，感染过程的多个阶段包括在RTF文档中使用OLE对象，以及执行OLE对象中包含在OOXML包中的混淆VBA代码。VBA代码执行Powershell，最终到在受害机器上释放Agent Tesla可执行文件终止。研究团队最近发现数十个类似的RTF释放器处于活动状态，这可能表明Agent Tesla利用此感染过程发起了广泛的攻击。


https://www.deepinstinct.com/202 ... ou-under-the-radar/

---

3 研究人员发现Valak恶意软件攻击多领域组织

思科Talos发现攻击者正在积极向全球分发Valak恶意软件，尤其是针对企业。Valak是一种模块化的信息窃取者。近期，Valak攻击多领域组织，包括金融、制造业、医疗保健和保险领域的组织。Valak使用被盗的电子邮件线程和受密码保护的ZIP存档传播，以期获得金钱收益。


https://blog.talosintelligence.com/2020/07/valak-emerges.html

---

4 REvil勒索软件攻击巴西电力公司Light S.A

REvil（Sodinokibi）勒索软件入侵了巴西的电能公司Light SA，并要求其提供1400万美元的赎金。Light SA承认发生了该入侵事件，表示黑客入侵了系统，并发送病毒，对所有Windows系统文件进行加密。该公司恶意软件分析团队可以访问可能在攻击中使用的二进制文件，并且能够确认该样本来自一个名为REvil的勒索软件家族。


https://securityaffairs.co/wordp ... ware-light-s-a.html

---

5 Apache Guacamole存在多个反向RDP漏洞

Check Point研究人员发现Apache Guacamole中存在多个严重的反向RDP漏洞。Apache Guacamole是一种流行的远程桌面应用程序，系统管理员使用它来远程访问和管理Windows和Linux计算机。这些漏洞允许一个已经成功侵入该组织内部计算机的攻击者，在员工试图连接受感染的机器时，对Guacamole网关发起攻击以接管。在研究人员披露给Apache之后，该公司于2020年6月发布了Guacamole的补丁版本。


https://thehackernews.com/2020/07/apache-guacamole-hacking.html

---

6 专家发现通过条形码扫描仪攻击ICS的新方法

IOActive的研究人员表示，工业控制系统（ICS）可以通过条形码扫描仪进行入侵。黑客此前曾证明，通过工业条码扫描器，可以远程将按键输入到与该扫描器相连的计算机中，从而可能导致计算机受到攻击。研究人员发布的部分研究针对的是机场行李处理系统使用的扫描仪。然而，专家警告同样的攻击载体可以被多种方式利用，也可以针对其他行业。


https://www.securityweek.com/res ... cs-barcode-scanners

---