每日安全简讯(20200707)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus针对美国和欧洲进行Magecart攻击

Sansec研究表明，朝鲜Lazarus（HIDDEN COBRA）组织针对美国和欧洲在线购物者进行支付卡窃取攻击（Magecart攻击）。Lazarus设法获得大型零售商在线商店代码，例如国际时尚连锁店Claire's 7。Lazarus如何获得访问权限尚不清楚，但是攻击者经常使用鱼叉式攻击（诱骗邮件）来获取零售人员的密码。通过未经授权的访问，Lazarus将其恶意脚本注入到商店结帐页面。一旦客户完成交易，支付卡窃取器将截获的数据(如信用卡号码)发送到Lazarus控制的收集服务器。


https://sansec.io/research/north-korea-magecart

---

2 网络钓鱼活动针对印度制造业和出口业

Quick Heal Security Labs发现了一个针对印度制造和出口行业的新攻击运动。攻击始于网络钓鱼电子邮件，其中包含带有恶意VBA宏的MS Office PowerPoint文件。执行后，恶意宏会使用预先存在的合法软件从Pastebin下载恶意有效载荷，包括Agent Tesla、Remcos RAT、NanoCore RAT。在此活动中，攻击者使用多种复杂技术绕过防御机制，包括使用LoLBins文件、在合法文件托管服务Pastebin上托管有效载荷、绕过AMSI（反恶意软件扫描接口）、有效载荷在内存中执行。该组织曾发起过名为Roma225、RG、Aggah的行动，目前安全界将这些攻击活动与巴基斯坦Gorgon Group联系起来。


https://www.seqrite.com/blog/adv ... t-sectors-in-india/

---

3 Snake勒索软件隔离受感染系统后加密

安全专家最近发现了Snake（也称为EKANS）勒索软件的新样本，这些样隔离受感染的系统，然后对文件进行加密以避免干扰。Snake示例实现了启用和禁用防火墙以及利用特定命令阻止与系统的有害连接的功能。Snake还将结束可能干扰加密的任何进程，包括与工业软件、备份解决方案以及安全工具相关的进程。然后，恶意软件还会删除卷影副本，以防止受害者恢复文件。


https://securityaffairs.co/wordp ... olates-systems.html

---

4 DXC科技子公司Xchanging遭勒索软件攻击

DXC科技公司(DXC)表示，其子公司Xchanging的某些系统遭遇勒索软件攻击。Xchanging主要是一家独立运营的保险管理服务公司。该公司表示，该事件仅影响Xchanging。此外，DXC目前没有任何迹象表明数据已被破坏或丢失。


https://www.nasdaq.com/articles/ ... e-attack-2020-07-05

---

5 .NET Core漏洞可使恶意软件逃避检测

.NET Core库中的漏洞允许攻击者启动恶意程序，同时逃避安全软件的检测。该漏洞为Microsoft .NET Core库中的路径遍历漏洞，形成原因包括允许.NET Core允许用户使用自定义DLL作为其垃圾回收器和未清除用于指定自定义.NET垃圾收集器的环境变量“ COMPlus_GCName”。该漏洞允许具有低特权的用户加载恶意垃圾回收器DLL，而不会被防病毒和端点产品轻易检测到。该漏洞会影响到最新的稳定版本3.1.x。当前没有可用的修复程序。


https://www.bleepingcomputer.com ... -malware-detection/

---

6 约会应用程序因数据库配置错误泄露数据

研究人员最近在美国和东亚的5个约会应用程序（CatholicSingles、YESTIKI、Blurry、Congdaq和来自同一家公司的Charin和Kyuun）上发现了数据泄漏和隐私泄露事件。泄露的数据包括姓名、账单地址、电话号码、个人资料、私人消息等。泄露的配置文件有数百万，托管这些数据库的Elasticsearch服务器、MongoDB数据库和AWS存储桶在没有密码保护或安全验证的情况下可以公开访问。


https://www.hackread.com/5-datin ... lions-of-user-data/

---