每日安全简讯(20210706)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布“苦象”组织上半年针对我国的攻击活动分析

近期，安天CERT在梳理安全事件时，发现一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法存在伪造身份向目标发送鱼叉邮件，投递恶意附件诱导受害者运行。经归因分析发现，这批活动具备APT组织“苦象”的历史特征，且在针对目标、恶意代码和网络资产等层面均存在关联，属于“苦象”组织在2021年上半年的典型攻击模式。此外，安天CERT还跟踪、关联到“苦象”组织上半年使用过的多个窃密插件，其攻击技术和代码功能均带有该组织的明显特征，其中对asms和sthost两个典型插件进行了分析。


https://mp.weixin.qq.com/s/dHiYZyJXoy2LLXtElcYeog

---

2 新Covid-19主题网络钓鱼活动可绕过SEG检测

Cofense钓鱼防御中心最近发现以Covid-19为主题的网络钓鱼活动，使用多种方法绕过安全电子邮件网关（SEG）检测。钓鱼邮件主题是“Covid-19疫苗接种信息”，其包含带有恶意宏的Excel文档中。启用宏后，将释放并运行ProgramData文件夹中的恶意DLL。一旦恶意DLL被执行，将下载一个.XLS 文件，该文件实际上是一个可执行文件，并存在几个反分析功能，具体为包含API调用旨在帮助逃避安全供应商的沙箱检查和检测，还包含多种MITRE策略，例如IsDebuggerPresent和GetTickCount以逃避检测。该可执行文件实际为Buer Loader新变种，最初的C2通信使用多层加密，并包含受感染主机的信息。该变种具有授予攻击者访问目标受害者计算机的权限、创建后门访问、改变管理控制、修改系统文件和分发其他恶意软件的功能。


https://cofense.com/blog/covid-19-variant-malware/

---

3 REvil团伙在Kaseya供应链攻击中利用0day漏洞

REvil勒索软件团伙在Kaseya供应链攻击中利用了0day漏洞。荷兰漏洞披露研究所（DIVD）透露，Kaseya VSA软件存在0day漏洞CVE-2021-30116，并称漏洞被利用部署勒索软件，Kaseya正在解决这一0day漏洞。据称，至少有1000家企业受到了攻击的影响，受害者来自不少于17个国家，包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚。REvil勒索软件团伙已在其泄露站点上表示，索要的赎金为7000万美元。


https://thehackernews.com/2021/0 ... eya-ransomware.html

---

4 美国水务公司WSSC Water遭到勒索软件攻击

美国水务公司WSSC Water正在调查5月24日发生的勒索软件攻击，攻击目标是该公司非必要业务系统的部分网络。据报道，该公司在攻击发生的几个小时后删除了恶意软件并锁定了威胁，但攻击者访问了内部文件。WSSC Water已针对该事件通知了联邦调查局、马里兰州总检察长、州和地方国土安全官员。


https://securityaffairs.co/wordp ... somware-attack.html

---

5 Revil勒索软件攻击西班牙电信巨头MasMovil

西班牙第四大电信运营商MasMovil遭遇Revil（又名 Sodinokibi）勒索软件攻击。Revil勒索软件团伙声称下载了属于MasMovil的数据库和其他重要数据，并且为了证明真实性，还分享了盗取数据的屏幕截图，其中显示了名为Backup、RESELLERS、PARLEM、OCU的文件夹，但该团伙还未要求赎金。


https://www.hackread.com/revil-r ... s-masmovil-telecom/

---

6 WAGO设备漏洞可导致工业企业受到远程攻击

WAGO是一家专门从事电气连接和自动化解决方案的德国公司，其生产的可编程逻辑控制器(PLC)和人机界面(HMI)产品中存在四个严重和高严重的漏洞。安全漏洞可能允许攻击者造成拒绝服务 (DoS) 条件，在某些情况下甚至可以执行任意代码。每个漏洞都允许攻击者通过向目标设备发送包含操作系统命令的特制数据包的方式来利用。WAGO已发布针对这些漏洞的补丁，并分享了一些缓解建议。


https://www.securityweek.com/vul ... irms-remote-attacks

---