每日安全简讯(20190622)

1 Turla组织新工具集中使用APT34组织基础设施

赛门铁克观察到在2018年初至今Turla（又名Waterbug）组织针对政府和国际组织的一系列攻击活动，具体已攻击了10个不同国家的13个组织。根据其使用不同的工具集，活动可分为三个不同的攻击浪潮。第一波活动使用名为Neptun的新后门，其安装在Microsoft Exchange服务中，侦听来自攻击者的命令。Neptun还能够下载其它工具、上传被盗文件和执行shell命令。Turla使用了从APT34（又名OilRig、Crambus）间谍组织劫持的基础设施。第二波活动中使用一个修改版本的公开后门Meterpreter、两个名为photobased.dll和远程过程调用RPC自定义后门。新版本Meterpreter进行了编码，并使用“ .wav ”扩展名以掩盖真实目的。第三波活动中使用另一个自定义RPC后门，其使用从公共可用的PowerShellRunner工具派生的代码来执行PowerShell脚本，旨在绕过识别恶意PowerShell使用情况的检测。在执行之前，PowerShell脚本以base64编码存储在注册表中，这可能是为了避免将它们写入文件系统。


https://www.symantec.com/blogs/t ... pionage-governments

---

2 Adobe Worm Faker蠕虫使用LOLBins传递载荷

Cybereason研究人员发现了新蠕虫变种Adobe Worm Faker，它以zip文件的形式启动，通过可移动设备传送到用户的计算机。恶意zip文件包含一个带有Adobe Acrobat Reader图标启动器（使用合法进程acroup.exe或wscript.exe）和恶意脚本。使用LOLBins隐藏活动，并根据所在机器动态地改变其行为，以为每个目标机器提供最优利用和有效载荷。该蠕虫针对特定的可移动AV产品，这表明其可能存在基于区域的针对性攻击，并且可能具有潜在的严重破坏性，因为它具有五层混淆，能够逃避AV和EDR产品，需要人工干预来防御。


https://www.cybereason.com/blog/ ... customized-payloads

---

3 Firefox浏览器0day漏洞被用于攻击加密货币公司

Firefox浏览器0day漏洞已被黑客利用攻击加密货币公司Coinbase，该漏洞CVE-2019-11707，Mozilla已于近日发布补丁更新，修复了该漏洞。此次攻击由网络钓鱼邮件发起，针对MacOS用户，当用户使用Firefox访问邮件包含的URL时，将触发漏洞，释放Netwire RAT，以允许攻击者获得对受感染计算机的完全访问权限，Netwire还可以从浏览器和其它应用程序中窃取信息。据研究人员透露目前已发现Windows版本的恶意软件。


https://objective-see.com/blog/blog_0x43.html

---

4 Mac挖矿工具Bird通过仿真Linux运行逃避检测

Malwarebytes研究人员在高端音乐制作软件Ableton Live的破解安装程序中，发现了新Mac挖矿工具Bird。Bird的postinstall脚本会将一些已安装的文件复制到具有随机名称的新位置，名称中避免涉及词汇Nazis和Hitler。在系统上释放的文件具有随机的名称和多种功能。其中三个是启动守护进程，负责启动三个不同的shell脚本。第一个为Crax，负责依次检查Activity Monitor运行和CPU使用情况，卸载运行进程。然后加载另外两个名为Pecora和Krugerite的脚本进程。Krugerite脚本再次检查Activity Monitor，并启动名为Qemu的开源软件的旧版本，它能够在非Linux系统上运行Linux可执行文件。Poaceae脚本中映像包含一个可引导的Linux系统，和包含用于启动和运行xmrig命令的mydata.tgz文件。Bird使用的xmrig副本是一个通过Qemu仿真运行的Linux可执行文件，有助于逃避检测。


https://blog.malwarebytes.com/ma ... by-emulating-linux/

---

5 DanaBot木马传播NonRansomware勒索软件

CheckPoint研究人员通过跟踪DanaBot活动，近日发现其在欧洲的活动开始传播Delphi编写的勒索软件，并更新其它功能。DanaBot银行木马通常使用网络邮件分发，所带的链接将执行JavaScript或PowerShell释放器，所有DanaBot版本都通过443端口上的基于TCP的自定义协议与C＆C服务器进行通信。不断更新的功能中，DanaBot释放器伪装成Windows系统事件通知服务以绕过UAC，通信协议开始使用AES256进行加密，增加新传播模块“NonRansomware”勒索软件变种，它采用Delphi编写，可枚举本地驱动器上的文件，并加密除Windows目录之外的所有文件。


https://research.checkpoint.com/danabot-demands-a-ransom-payment/

---

6 ResiDex软件公司遭勒索软件攻击影响客户信息

近日ResiDex软件公司遭到勒索软件攻击，影响了其IT系统和服务器基础架构。事件发生后ResiDex采取了必要措施将其服务器恢复到新的托管服务提供商并保护其IT系统，并开始使用公司维护的备份恢复其安全性和服务。通过调查并未发现任何个人信息或受保护的健康信息受到损害。但未经授权访问ResiDex的软件可能会影响个人信息，包括姓名、社会安全号码和受保护的健康信息，包括软件中存在的医疗记录。


https://cyware.com/news/residex- ... nformation-2632f76e

---