每日安全简讯(20191120)

1  研究人员发现针对多平台的后门ACBackdoor

Intezer研究人员发现一个新Linux后门及其Windows变种，并将其称为ACBackdoor。ACBackdoor提供shell命令的任意执行、任意二进制执行、持久性和更新功能。Linux二进制文件是静态链接的ELF文件，而Windows二进制文件是动态链接的PE文件。就整体功能而言，该后门的两个实例在本质上是相同的，只是存在实现上的细微差别。二者共享相同的协议以与同一台CNC服务器通信，但是具有不同的传递向量，Windows实例是通过Fallout漏洞利用工具包投送，而Linux实例目前未知，这一发现表明，ACBackdoor背后的攻击组织有足够的资金来购买Fallout漏洞利用工具包，并且正在使用它通过恶意广告活动来传播Windows版本的后门。目前还未发现该后门与其他威胁组织具有任何已知联系。


https://www.intezer.com/blog-acb ... iplatform-backdoor/

---

2 勒索软件Buran通过Excel Web查询感染PC

安全研究人员发现了一个新的恶意垃圾邮件活动，它通过IQY文件附件的Web查询分发勒索软件Buran。IQY文件是Excel Web查询文档，打开时将尝试使用外部源将数据导入工作表。用户打开该IQY文件时，将执行web查询或远程命令，来启动PowerShell命令，该命令将远程下载名为1.exe的Buran可执行文件，将其保存到Temp文件夹中，然后执行。目前还无法免费解密Buran加密的文件。


https://www.bleepingcomputer.com ... -excel-web-queries/

---

3 路易斯安那州政府计算机在勒索软件攻击后遭停运

美国路易斯安那州政府遭遇勒索软件攻击，导致计算机被加密停止运行。州长发布消息表示，许多政府机构的服务器都已被关闭，目前这些机构正在恢复正常，但全面恢复可能需要几天时间。该州发言人称办公室的网站暂时处于离线状态，但该州南部州长在上周六的选举结果并未受到影响。据知情人透露，此次攻击路易斯安那州为Ryuk勒索软件。


https://www.itnews.com.au/news/l ... mware-attack-534206

---

4 攻击者使用虚假付款HTML文件来绕过邮件网关

Cofense网络钓鱼防御中心发现了网络钓鱼攻击活动。该网络钓鱼攻击企图通过一个伪造的付款订单附件来窃取用户的Office365凭据。附件html文件会将用户重定向到网络钓鱼页面，该页面伪装成真正的Microsoft Online Excel文档，需要用户填写密码进行身份验证才能查看文件，一旦用户填写后，攻击者将获取用户凭据。这种隐藏在html文件中的恶意重定向方法，绕过了Proofpoint安全电子邮件网关。


https://cofense.com/threat-actor ... proofpoint-gateway/

---

5 CISA披露已在ABB产品中发现五年的严重漏洞

美国国土安全部通过网络安全和基础设施安全局（CISA）披露了已发现五年的身份验证绕过漏洞，该漏洞影响了ABB的发电信息管理器（PGIM）工厂历史记录和数据分析工具，及其前身Plant  Connect。据CISA称，受影响的产品在全球范围内广泛使用，包括水坝、关键制造业、能源、水和废水、食品和农业以及化工。该漏洞被跟踪为CVE-2019-18250，CVSS评分为9.8，允许攻击者获取PGIM凭据，甚至可能获取Windows凭据，从而导致历史数据和事件的丢失，并可能获得将数据写入控制平台所需的特权。ABB表示尚未收到任何表明该漏洞已被用于恶意目的的信息，在新产品中已将该漏洞修复。


https://www.securityweek.com/vul ... ars-after-discovery

---

6 梅西百货网站遭MageCart攻击泄露用户付款信息

梅西百货公司宣布其网站遭到窃取客户付款信息的恶意脚本的黑客攻击，导致数据泄露。此类恶意活动被称为MageCart攻击，黑客通过入侵网站，来将恶意JavaScript脚本注入网站的各个部分，这些脚本会窃取客户提交的付款信息。梅西百货在发布的数据泄露通知中表示，网站于2019年10月7日被黑客入侵，并且恶意脚本已添加到结帐和我的钱包页面。如果在这些页面在遭到入侵时，用户在这些页面上提交了任何付款信息，则信用卡详细信息和客户信息将被发送到受攻击者控制的远程站点。


https://www.bleepingcomputer.com ... gecart-data-breach/

---