每日安全简讯(20201014)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 TrickBot幕后团伙使用Bazar针对高价值目标

英特尔安全研究人员在一份新报告中表示，攻击者现在不再使用众所周知的TrickBot恶意软件，而是选择使用针对高价值目标的Bazar恶意软件。Bazar是TrickBot幕后团伙工具装备中的一部分，由加载程序和后门两个部分组成。在使用Bazar的攻击活动中，攻击者也使用合法渗透软件kit Cobalt Strike进行后渗透利用，以枚举和收集网络主机和活动目录的凭据，并上传“Lasagne ”和“BloodHound”等第三方软件以及在网络域内执行Ryuk勒索软件。


https://www.advanced-intel.com/p ... y-cybercrime-weapon

---

2 Windows Update程序可被利用执行恶意代码

研究人员发现Windows Update被攻击者加入到用于在Windows系统上执行恶意代码的二进制文件列表(LoLBins)中。LoLBins是微软签名的可执行文件，在下载、安装或执行恶意代码时，攻击者可能会利用其逃避检测和获得持久性。WSUS/Windows Update客户端（wuauclt）是实用程序，可为用户从命令行提供对Windows Update Agent某些功能的部分控制。研究人员发现攻击者可以通过使用命令行选项从任意特制的DLL加载wuauclt，从而在Windows 10系统上执行恶意代码。


https://www.bleepingcomputer.com ... malicious-programs/

---

3 Qbot僵尸网络使用Defender防病毒警报传播

Qbot僵尸网络使用新模板分发，该模板使用伪造的Windows Defender防病毒警报主题。攻击者使用该主题诱使用户打开垃圾邮件，并启用Excel附件的恶意宏。当用户点击“启用内容”按钮后，执行的恶意宏将在受害者的计算机上安装Qbot僵尸网络。


https://www.bleepingcomputer.com ... bait-to-infect-pcs/

---

4 安全公司联合拆除TrickBot僵尸网络基础设施

由FS-ISAC，ESET、Lumen的Black Lotus Labs、NTT、赛门铁克和微软进行的一项联合行动旨在拆除TrickBot僵尸网络的网络基础设施。研究人员表示，通过监控Trickbot活动，收集了成千上万个不同的配置文件，发现其针对目标URL大多属于金融机构，并绘制了命令和控制基础结构图。该联合行动禁用了TrickBot的IP地址，使存储在命令和控制服务器上的内容无法访问，暂停对僵尸网络操控者的所有服务，并阻止其购买或租用额外服务器的任何行为。


https://securityaffairs.co/wordp ... otnet-takedown.html

---

5 Maze幕后团伙发布弗吉尼亚州公立学区数据

Maze幕后团伙在线发布了美国弗吉尼亚州费尔法克斯县公立学区的数据。该学区上个月遭遇Maze勒索软件攻击，目前在暗网发布的被盗数据包括学区的学生和员工信息。该学区已向父母和员工发送电子邮件通知该事件，并正在与弗吉尼亚州警察局和联邦调查局合作调查该事件。


https://www.securityweek.com/hac ... -stolen-data-online

---

6 法国集装箱运输集团CMA CGM遭遇网络攻击

总部位于法国的全球第四大集装箱运输集团CMA CGM在上个月遭遇网络攻击，致使其业务活动陷入瘫痪。CMA CGM于9月28日首次报告了这一事件，称在恶意软件攻击其外围服务器后，该公司关闭了对其在线服务的访问。目前CMA CGM已恢复其在线业务服务。


https://www.reuters.com/article/ ... ttack-idUSKBN26X1KX

---