每日安全简讯(20190616)

1 Xenotime正瞄准美国和亚太地区电力部门

Dragos在2019年2月确定Xenotime组织从2018年末开始，开始在美国和亚太地区，使用针对石油和天然气攻击活动中的类似策略，探测电力公用事业组织的网络，收集信息。2017年Xenotime使用TRISIS恶意软件攻击沙特阿拉伯石油和天然气设施。研究人员观察到攻击者试图使用凭据填充进行身份验证，或使用被盗用户名和密码试图强行进入目标帐户。这种行为表明该组织正在为进一步的网络攻击做准备。


https://dragos.com/blog/industry ... ion-to-oil-and-gas/

---

2 伊朗组织通过扫描互联网攻击DNA测序程序

研究人员表示未知的伊朗黑客组织正扫描互联网上的dnaLIMS，dnaLIMS是由公司和研究机构安装基于web的应用程序，用于处理DNA测序操作。黑客正在利用dnaLIMS中的一个漏洞CVE-2017-6526，向DNA测序程序植入shell，以远程位置控制底层Web服务器。目前尚不清楚黑客动机，但研究人员表示可以为两种情况：从应用程序的数据库中窃取DNA序列的哈希值，或者是将受感染的服务器用作僵尸网络的一部进行挖矿。


https://www.zdnet.com/article/my ... nto-dna-sequencers/

---

3 Houdini变种WSH RAT攻击商业银行客户

Cofense研究人员发现恶意软件Houdini（HWorm）变种WSH RAT针对商业银行客户的攻击活动。该变种将HWorm的Visual Basic原始代码库移植到JavaScript，引用在Windows机器上执行脚本的应用程序的合法脚本宿主。钓鱼邮件包含带有恶意链接的MHT文件，其指向包含WSH RAT的.zip存档文件。WSH RAT与C2通信调用另一个URL以获取三个单独的有效载荷，分别为来自第三方的键盘记录器、邮件凭证查看器、浏览器凭据查看器。


https://cofense.com/houdini-worm-transformed-new-phishing-attack/

---

4 Echobot僵尸网络变种利用26个漏洞传播

Akamai研究人员发现了新版本Echobot，使用了26个漏洞进行传播。Echobot基于Mirai恶意软件，新变种使用的26个漏洞中包含8个新漏洞，多数是各种网络设备中众所周知的命令执行漏洞，并且开始利用企业Web Oracle WebLogic和网络软件VMware SD-WAN中的漏洞。通过历史DNS数据显示，攻击者使用指向意大利和美国的服务器。


https://blogs.akamai.com/sitr/20 ... ection-vectors.html

---

5 新Android木马通过谷歌浏览器推送广告

Doctor Web专家安全研究人员发现了一种新Android木马，利用谷歌浏览器向用户推送广告，重定向到网络诈骗网站。即使浏览器关闭也会弹出通知，并且可能会将其误认为是系统通知。该恶意活动不仅打扰安卓设备的用户，还可能允许攻击者窃取金钱和机密信息。目前谷歌已将多个虚假程序删除。


https://news.drweb.com/show/?i=13313&lng=en&c=5

---

6 医疗AGW产品漏洞允许攻击者控制设备

研究人员发现Alaris网关工作站（AGW）存在高严重性漏洞，允许攻击者完全控制连接到工作站的医疗设备。AGW是医疗设备公司Becton Dickinson的产品，用于与输液泵进行通信，以便在输血、麻醉以及化疗和透析等各种治疗过程中为其提供动力。第一个漏洞为CVE-2019-10959，存在于AGW的固件代码中，允许攻击者使用自定义版本远程替换固件。第二个漏洞为CVE-2019-10962，位于AWG的基于Web的界面中，允许攻击者访问设备监视、事件日志和设备配置。Becton Dickinson已最新固件版本修复了漏洞。


https://cyware.com/news/critical ... sion-pumps-832e6c14

---