每日安全简讯(20190817）

1 美军网络司令部发现与Lazarus有关的恶意代码样本

网络安全研究人员表示VirusTotal上传的恶意软件样本与朝鲜APT组织Lazarus的活动有关。恶意软件样本一个为DLL（动态链接库）文件。另一个为可执行文件，可自己运行。研究人员已将这两个样本与Lazarus组织联系起来，通过分析样本，发现一个似乎为朝鲜组织主要使用的隧道工具ELECTRICFISH，另一个为虚假TLS代理工具，该工具允许攻击者使用受害者作为一个跳点来通过隧道流量，类似于ELECTRICFISH，但方式不同。


https://www.cyberscoop.com/lazar ... ware-cyber-command/

---

2 安全厂商发现利用AutoIt传播Remcos的钓鱼活动

趋势科技研究人员在2019年7月发现了声称为新订单通知的网络钓鱼邮件活动，最终传播Remcos RAT。邮件附件为ACE压缩文件，其包含AutoIt加载器。AutoIt主要用于在受影响的系统上实现持久性、执行反分析检测以及释放和执行Remcos RAT。AutoIt通过建立RUN注册表项实现持久性。AutoIt代码包含大量垃圾代码，通过检查正在运行的进程列表来检测虚拟机环境，使用内置的事件查看器实用程序（eventvwr）或fodhelper来绕过用户帐户控制（UAC），如果监测到IsdebuggerPresent，将显示消息”这是第三方编译的AutoIt脚本“，并推出程序以反调试。有效载荷会建立自身副本，使用shellcode执行，最后删除自身。Remcos RAT使用RC4算法对收集的数据进行加密发送到命令和控制（C＆C）服务器。


https://blog.trendmicro.com/tren ... via-phishing-email/

---

3 卡巴斯基反病毒软件存在漏洞允许在线跟踪用户

研究人员在卡巴斯基反病毒软件中发现一个漏洞，允许访问过的网站和商业第三方服务在线跟踪用户。该漏洞ID为CVE-2019-8286，存在卡巴斯基反病毒软件名为Kaspersky URL Advisor的URL扫描模块中。该漏洞暴露在过去4年中用户访问过的每个网站的关联唯一标识符，该标识符的暴露允许访问过的网站和商业第三方服务在线跟踪用户。


https://thehackernews.com/2019/0 ... nline-tracking.html

---

4 趋势科技密码管理器的中央控制服务中存在漏洞

研究人员在趋势科技的密码管理器中发现漏洞，可被用来在Windows系统上运行具有最高账户权限的程序。该漏洞由趋势科技密码管理器中央控制服务导致，该服务启动了一个连锁反应，包括寻找系统上不存在的DLL。攻击者可以利用此漏洞，在可信进程中以系统特权运行任意未签名的DLL文件。这将有利于攻击者执行恶意有效载荷和逃避检测。目前该漏洞已被修复。


https://www.bleepingcomputer.com ... n-password-manager/

---

5 Mozilla发布安全更新修复Firefox密码管理器漏洞

Mozilla发布了安全更新，修复了Firefox密码管理器中存在的漏洞。该漏洞被追踪为CVE-2019-11733，可被利用来绕过内置密码管理器的主密码并获取存储的密码。用户可以为内置在Firefox中的密码管理器设置主密码，确保已保存的登录信息不会被未经授权的用户访问。当用户进入已保存的登录菜单时，必须按下“显示密码”按钮才能看到密码，如果设置了主密码，则必须输入主密码。但Mozilla发现用户只需右键单击一个条目并选择“复制密码”，密码就会被复制到剪贴板上，而无需输入主密码。Firefox 68.0.2版本已修复了该漏洞。


https://www.securityweek.com/vul ... ox-password-manager

---

6 欧洲中央银行遭到黑客入侵导致用户数据泄露

欧洲中央银行（ECB）公布了BIRD通讯中的数据泄露事件，攻击者可以获取数月数百名金融业订阅者的联系信息。欧洲央行在定期维护工作中发现了入侵活动，黑客至少于去年12月入侵BIRD，在位于银行综合报告字典(BIRD)的外部服务器上部署了恶意软件。黑客可以访问BIRD通讯481名订阅者的电子邮件地址、姓名和职位，密码也已被暴露。欧洲央行正在向可能受影响的人通报此事件。


https://securityaffairs.co/wordp ... cb-data-breach.html

---