每日安全简讯(20200107)

1 奥地利外交部正遭到严重的网络攻击

奥地利外交部和内政部在一份联合声明中表示，遭受到了严重的网络攻击，并且在截至发表声明之时，攻击仍在继续。攻击发生在1月4日星期六晚上，并迅速被发现。当局立即采取了防御措施，以保护其基础设施，同时还成立了一个专门委员会应对这一事件。该声明中还表示，由于此次攻击的复杂程度和严重性，被怀疑是由国家支持的组织进行的针对性攻击。目前尚不清楚黑客是否获得了对敏感数据的访问权限以及攻击的持续时间。


https://securityaffairs.co/wordp ... ry-cyberattack.html

---

2 REvil利用Pulse Secure VPN服务漏洞传播

研究人员警告REvil勒索软件针对未打补丁的Pulse Secure VPN进行传播。根据安全公司于1月4日进行的扫描，有3825台Pulse Secure VPN尚未针对漏洞CVE-2019-11510进行修补，这是2019年10月披露的两个Pulse Secure VPN漏洞之一。这些易受攻击的VPN中有1300多个位于美国。安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补该漏洞，因为攻击者可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务，传播REvil勒索软件。


https://www.zdnet.com/article/vp ... secure-vpn-servers/

---

3 研究人员发现勒索软件Nemty在韩国传播

AhnLab研究人员发现勒索软件Nemty的2.5更新版本近日在韩国传播。传播的电子邮件以电子商务违规为主题，附件为“.alz”压缩文件，其包含使用图标伪装成PDF文档，但实际为恶意“.exe”可执行文件，最终分发勒索软件Nemty 2.5。新版本同以前版本一样结束某些进程和服务后，删除卷影副本，然后加密。与以前版本不同的是，删除命令添加了powershell命令。此外，还增加了以“daite drobovik”命名的Run密钥注册功能。


https://asec.ahnlab.com/1282

---

4 美国IT服务提供商在遭受勒索攻击后支付赎金

美国加利福尼亚州的IT管理和云托管服务提供商Synoptek在遭受勒索软件Sodinokibi攻击后，决定支付赎金以解密其文件。此次攻击发生在2019年12月23日，黑客首先入侵了公司网络，然后安装了勒索软件。该公司CEO表示此次攻击仅影响部分客户，已在假期期间，解决了相关问题。Sodiniokibi团伙似乎专注于针对美国IT提供商，2019年8月，PercSoft公司感染了该勒索软件；2019年12月，Complete Technology Solutions系统感染了该勒索软件。


https://securityaffairs.co/wordp ... somware-attack.html

---

5 黑客利用谷歌浏览器扩展实现网络钓鱼攻击

研究人员发现黑客利用浏览器扩展作为攻击媒介进行恶意活动。其中一个案例，黑客利用了流行的Chrome浏览器扩展程序之一Evernote笔记和整理应用程序，Evernote与网站交互的方法存在缺陷，黑客可以使用脚本置换技术绕过浏览器的同源策略(SOP)，从而绕过Chrome浏览器的安全政策。另一个案例中黑客还使用了一个名为“单一文件”的扩展，其允许用户以单HTML文件的形式保存和存档网页，以此来欺骗登录页面并进行窃取用户凭据的网络钓鱼活动。


https://www.cyberdefensemagazine.com/browser-extensions/

---

6 通用软件基础结构Tridium Niagara存在漏洞

由Tridium开发的Niagara Framework是一个通用的软件基础设施，它允许建筑控制集成商、暖通空调和机械承包商构建自定义的基于web的应用程序，以通过本地网络或Internet实时访问、自动化和控制智能设备。研究人员曾在Niagara系统中发现了多个漏洞，攻击者可以利用其中的目录遍历漏洞和弱凭证存储漏洞来完全控制设备，其中至少有50％的设备易受这两个漏洞的攻击。自发布漏洞公告以来，还有许多供应商并未修复漏洞，相关用户可以升级至Niagara AX v3.8：3.8.401版本、Niagara 4 Framework v4.4：4.4.92.2.1版本。


https://www.wilbursecurity.com/2 ... ra-vulnerabilities/

---