每日安全简讯(20190804）

1 Geumseong121组织伪装成Lazarus组织攻击韩国

ESTsecurity研究人员近日发现APT组织Geumseong121伪装成Lazarus组织，针对韩国进行攻击。研究人员将此活动称为“模仿游戏活动”（“Operation Imitation Game”）。攻击活动通过鱼叉式网络钓鱼，利用HWP文档传播，伪装成与目标熟悉的人。恶意文档于2019年7月15日进行了修改，文档包含PostScript代码，代码进行了编码，包含Lazarus组织使用的Hex 16字节XOR加密密钥，XOR密钥也出现在之前“Operation Movie Coin”活动中。


https://blog.alyac.co.kr/2453

---

2 Cobalt Group的新攻击活动针对哈萨克斯坦银行

CheckPoint研究人员近日发现Cobalt Group针对哈萨克斯坦银行Kassa Nova的新攻击活动。带有银行标识的恶意文件托管银行官方网站上，下载并启动后，该文档显示俄语诱饵信息，并诱骗受害者启用宏查看内容。启用宏后会启动一个多阶段感染链，首先将XSL文件写入本地磁盘，并使用称为“SquiblyTwo”的执行技术运行。此技术使用合法的WMIC实用程序，攻击者只需运行命令即可从XSL文件调用JScript或VBScript代码，代码将从托管在德国媒体公司的远程服务器地址，下载并执行已签名的Cobalt Strike信标，建立立足点。


https://research.checkpoint.com/ ... urns-to-kazakhstan/

---

3 Lotsy针对意大利语和西班牙语用户开展诈骗活动

Group-IB研究人员近日发现了Lotsy组织开展的一系列大规模网络诈骗活动，主要针对意大利语和西班牙语用户，涉及使用数十个知名品牌，伪造虚假网站，包括意大利航空Alitalia、家乐福、意大利零售店品牌Conad、国际零售店Target等。Lotsy利用社会工程学，例如在社交媒体帖和WhatsApp消息分享免费赠送赠品的链接，一旦点击将被重定向到虚假网站，重定向到的网站类型取决于用户的国家地区、设备或语言设置。研究人员已经确定了该活动中使用的114个域名，都是根据注册日期、域、域名扩展和内容与模仿对象进行相似性建立。为了避免被发现，二级域名中没有使用品牌名称。目前部分域名仍处于活跃状态。


https://www.group-ib.com/media/lotsy/

---

4 DealPly利用微软和迈克菲的声誉服务逃避AV检测

Ensilo研究人员发现广告软件DealPly变种利用微软的SmartScreen和迈克菲的 WebAdvisor声誉服务来逃避AV检测。DealPly利用以上声誉服务的数据，可以延长Adware安装程序和组件的使用寿命。DealPly最常见的感染媒介之一是诱使用户通过提供免费软件下载的网站，下载捆绑了广告软件的合法软件安装程序。DealPly每小时连接C＆C并通过HTTP发送加密请求完成任务调度程序执行。DealPly分为不同的模块，包括VM检测、密码识别，协同工作以实现其目标。研究人员认为DealPly利用声誉服务的原因为检查其变种和下载网站是否受到损害，是否将产生有效的未来感染。从多个服务器甚至通过Tor等已知代理查询这些服务很容易被识别、列入黑名单，并且可能会暴露DealPly操作。因此，使用分布式计算机网络来收集这些数据可逃避检测。


https://blog.ensilo.com/leveraging-reputation-services

---

5 GermanWiper勒索软件针对德国进行破坏性攻击

新勒索软件GermanWiper在过去一周内对德国进行严重攻击，该勒索软件不加密文件，而是擦除文件内容，永久性地销毁用户的数据。此种勒索软件似乎仅限于在德语国家传播，主要集中在德国，正通过垃圾邮件活动分发。电子邮件声称是来自名为“Lena Kretschmer”的人的求职申请，附件为简历的ZIP文件，并包含一个LNK快捷方式文件。该LNK文件将安装GermanWiper勒索软件。当用户运行此文件时，勒索软件将使用0x00（零字符）重写各种本地文件的内容，并为所有文件追加新的扩展名。此扩展名具有五个随机字母数字字符的格式，例如.08kJA，.AVco3，.OQn1B，.rjzR8等。加密后GermanWiper将在用户的默认浏览器中打开赎金需求的HTML文件，但受感染的用户支付赎金也无助于恢复文件。


https://www.zdnet.com/article/ge ... es-asks-for-ransom/

---

6 WiFi WPA3协议标准中存在新Dragonblood漏洞

研究人员在WiFi WPA3协议标准中发现两个新Dragonblood漏洞，将泄露WPA3加密操作中信息并允许暴力破解出WiFi网络的密码。第一个漏洞为CVE-2019-13377，当使用Brainpool曲线时，会对WPA3的Dragonfly握手进行基于定时的侧信道攻击。第二个漏洞为CVE-2019-13456，在FreeRADIUS的EAP-pwd中，当需要超过10次迭代时，由于中止将导致信息泄漏。目前研究人员已报告了以上漏洞，Wi-Fi标准现在正在更新，采用了适当的防御措施。

https://wpa3.mathyvanhoef.com/#new

---