每日安全简讯(20210109)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安全厂商披露名为Kremlin的网络攻击行动

ClearSky研究人员发现了一个恶意的“.docx”文件，该文件已于12月中旬从俄罗斯上传到VirusTotal。该文件内容为俄罗斯国防部的“奖金支付”请求，并由国防部工作人员在2020年11月期间提交。文件包含指向远程模板的模糊URL，远程模板包含恶意VBA，最终导致在受感染计算机上执行VBS。此次攻击的目的是通过在系统上不运行任何外部可执行文件以隐蔽地窃取信息。研究人员将此次攻击称为“Kremlin行动”，并通过分析发现该行动与此前披露的“多米诺行动”存在联系。


https://www.clearskysec.com/operation-kremlin/

---

2 TA551使用钓鱼邮件分发信息窃取程序IcedID

Unit42团队披露TA551（也称为Shathak）组织从2020年7月中旬到11月使用钓鱼邮件分发信息窃取恶意软件IcedID，目标为德语、意大利语和日语用户。钓鱼邮件包含受密码保护的ZIP存档附件和通知用户打开该附件所需的密码。ZIP存档解压缩后是带有宏的Word文档，用户打开文档并启用宏后，将下载仅针对Windows的恶意安装程序DLL，最终安装信息窃取恶意软件IcedID。


https://unit42.paloaltonetworks.com/ta551-shathak-icedid/

---

3 Linux恶意软件使用Ezuri内存加载器逃避检测

AT&T Alien Labs研究人员发现有Linux恶意软件使用Ezuri内存加载器来逃避检测。Ezuri用Go语言编写，同时充当ELF（Linux）二进制文件的加密器和加载器，它使用AES加密恶意软件代码，解密后直接在内存中执行恶意有效负载，而不会在磁盘上生成任何文件，从而逃避检测。Ezuri的创建者已在GitHub上公开源代码，且一Ezuri样本示例目前在VirusTotal上的检测率只有3/64。


https://cybersecurity.att.com/bl ... ezuri-memory-loader

---

4 FBI警告Egregor勒索软件正在针对全球企业

美国联邦调查局（FBI）已发送安全警报，警告私营部门公司Egregor勒索软件正在积极瞄准全球企业。FBI表示，Egregor勒索软件利用多种机制来破坏企业网络，包括针对与企业网络或设备共享访问权限的企业网络和员工个人帐户。由于部署Egregor涉及攻击者众多，因此部署Egregor时所采用的战术，技术和程序（TTP）可能大相径庭，给防御和缓解带来了重大挑战。


https://www.bleepingcomputer.com ... sinesses-worldwide/

---

5 FortiWeb Web应用程序防火墙存在多个漏洞

安全研究员在Fortinet的FortiWeb Web应用程序防火墙（WAF）中发现了多个严重漏洞，攻击者可能利用这些漏洞来入侵企业网络。这些漏洞包括SQL注入（盲注）、基于堆栈的缓冲区溢出、缓冲区溢出和格式字符串漏洞， 分别被跟踪为CVE-2020-29015、CVE-2020-29016、CVE-2020-29018和CVE-2020-29019，可能允许攻击者执行未经授权的代码或命令或导致拒绝服务（DoS）条件。这些漏洞存在于FortiWeb管理界面中，这意味着远程攻击者可以利用漏洞来潜在地访问公司网络。Fortinet已通过发布安全补丁解决了这些漏洞。


https://securityaffairs.co/wordp ... iweb-waf-flaws.html

---

6 网络犯罪团伙在线发布英国哈克尼委员会数据

名为Pysa/Mespinoza的网络犯罪团伙在暗网发布了从英国伦敦哈克尼委员会窃取的敏感数据。该委员会曾在2020年10月遭到网络攻击，影响了其许多服务和IT系统。被公开数据包括员工和居民的敏感个人数据，例如护照文件。该委员会在其网站上的新声明中表示，正在与其它机构进行调查被公开的内容和下一步的措施。


https://www.infosecurity-magazin ... len-council-online/

---