每日安全简讯(20190323)

1 安天发布国际黑产组织近期钓鱼攻击活动报告

安天CERT（安天安全研究与应急处理中心）发现2019年2月13日至3月7日期间发生数起大规模有组织的针对部分东亚国家（主要为日本和韩国）的钓鱼邮件攻击行为，攻击者利用掌控的大量被盗邮箱账号，向日本和韩国两国的商业公司和金融机构批量发送钓鱼邮件，投递附带恶意Excel 4.0宏代码的攻击文档，传播FlawedAmmyy远控木马。通过对数起邮件钓鱼攻击活动的深入分析，我们发现这些活动存在很大关联性，且攻击者的动机、作业风格、技术战术过程和使用的远控都十分符合活跃于全球的黑产组织TA505。


https://mp.weixin.qq.com/s?__biz ... 7J7lnkn0FDkPkdkQ6p2

---

2 安全厂商披露APT组织Kimsuky水坑攻击活动

ESTsecurity研究人员在韩国政府机构网站和研究朝鲜和韩国统一的特定学术团体的主页发现了恶意软件，并确定这些攻击是有针对性的水坑攻击。恶意软件是混淆的VBS代码，利用CVE-2018-8174漏洞。VBS脚本中包含shellcode命令会执行'svchost.exe'进程，并与C2服务器通信。恶意软件会下载并执行伪装成特定图像的shellcode二进制文件。服务器上有两个图像，分析发现是相同的文件。如果伪装成图像文件的脚本被加载，则解码的可执行文件将被注入“userinit.exe”文件，该文件是系统文件之一。最终有效载荷会窃取系统信息和键盘记录以及文档文件信息。


https://blog.alyac.co.kr/2209

---

3 英格兰和威尔士警察联合会遭到勒索软件攻击

英格兰和威尔士警察联合会（PFEW）遭到勒索软件攻击，中央办公室的几个系统和数据库被加密，办公室的电子邮件服务也被禁用，备份数据被删除。根据声明，执法协会的安保系统于当地时间3月9日19:00发出警报。PFEW正与国家网络安全中心（NCSC）和国家犯罪局（NCA）合作进行调查。目前尚未发现任何迹象表明攻击者从PFEW中泄露了信息。


https://www.tripwire.com/state-o ... eration-ransomware/

---

4 逆向工程工具Ghidra漏洞可导致远程代码执行

NSA开源逆向工程工具中存在漏洞，可能导致远程代码执行。研究人员在Ghidra 9.0版本中发现了漏洞，表示在Ghidra中创建的项目容易受到XML外部实体（XXE）扩展攻击。攻击者可以打开或“恢复”由他们创建的恶意项目。研究人员详细地介绍了利用这个漏洞的步骤。


https://cyware.com/news/nsas-ghi ... nerability-3f1d59fa

---

5 Google相册漏洞可暴露用户图片中元数据信息

研究人员发现Google Photos存在漏洞很容易受到跨站点搜索攻击。 利用该漏洞攻击者可以获取存储在Google相册中的图像的元数据，例如地理位置详细信息、日期、时间等。研究人员表示Google相册搜索引擎会访问照片元数据。因此，通过在搜索查询中添加日期，可以检查照片是否在特定时间范围内拍摄。以不同的时间范围重复这个过程，可以快速估计访问特定地点或国家的时间。研究人员向谷歌通报了该漏洞，谷歌已经修补了这个漏洞。


https://cyware.com/news/google-p ... ers-images-3399e625

---

6 数亿Facebook用户密码以明文形式存储多年

Facebook公司宣称，多年来数亿Facebook和Instagram用户的密码多年来被以明文形式存储在内部数据存储系统中。存储的密码数据时Facebook在2019年1月的例行安全检查时发现的。一名Facebook内部人员表示，访问日志表明，约2000名工程师或开发人员对包含明文形式的用户密码数据进行约900万次内部查询。Facebook公司表示，目前所有的密码已不可访问，将通知密码被以明文形式存储的所有用户。这些密码无法被Facebook公司以外的人员访问，该公司未发现证据表明内部人员滥用或不当地访问这些数据。


https://threatpost.com/facebook- ... t-for-years/143032/

---