每日安全简讯(20180217)

1 研究人员发现SamSam勒索软件关联组织

Secureworks Counter Threat Unit（CTU）的安全研究人员发现SamSam勒索软件与GOLD LOWELL组织存在关联，自2015年以来GOLD LOWELL与SamSam攻击活动中使用的工具和行为相一致。


https://www.secureworks.com/research/samsam-ransomware-campaigns

---

2 谷歌宣布推出了新的内置广告拦截技术

谷歌在2月15日宣布，推出新的内置广告拦截技术，来拦截某些类型的在线广告。使用者可以随时切换到新的广告拦截器而不必将日常网站加入到白名单。


https://www.bleepingcomputer.com ... r-settings-images-/

---

3 Apache CouchDB曝出漏洞可被用于挖矿

安全厂商趋势科技发现Apache CouchDB存在的两个漏洞，一个是Apache CouchDB JSON远程特权升级漏洞（CVE-2017-12635）和Apache CouchDB _config命令执行漏洞（CVE-2017-12636）。攻击者可以利用这些漏洞获取重复密钥，从而允许在获得系统的远程访问权限并执行任意代码。


https://blog.trendmicro.com/tren ... door-monero-miners/

---

4 安全厂商发布11882漏洞最新利用的分析

安全厂商Trustwave的研究人员发现Office 11882漏洞利用的攻击分析，完成此攻击只需要打开文档而不需要执行宏脚本。受害者接受垃圾邮件，打开docx附件文件。其中特制的OLE对象触发11882漏洞，运行MSHTA加载PowerShell脚本安装密码窃取程序。最后将窃密数据上传到远端服务器。


https://www.trustwave.com/Resour ... ack-without-Macros/

---

5 腾讯发布奇幻熊APT28组织最新攻击分析

腾讯发现该组织利用英国信息服务提供商IHS Markit公司的邮箱账号向罗马尼亚外交部发送钓鱼邮件进行定向攻击。在攻击技术利用方面，该组织使用了最新的白利用技术，白利用程序为证书管理程序certutil.exe。此外，该组织还使用了最新的后门技术，利用UserInitMprLogonScript注册表键值来实现开机自启动。本次攻击中使用的木马为Carberp银行木马的变种，在隐藏网络行为及保护胜利果实方面做出了优化。


http://www.freebuf.com/articles/network/162715.html

---

6 安全厂商发布TRITON恶意软件框架分析

cyberx-labs于本月14日发布了TRITON恶意软件框架分析报告。TRITON恶意软件暴露了另一个ICS系统，攻击者现在可以攻击工业操作，即物理安全控制系统或安全仪表系统（SIS），目的是自动紧急关闭工厂操作过程，如炼油厂超过安全温度或压力过程。TRITON专门针对施耐德电气SIS设备的特定型号进行了破坏，攻击者展示的tradecraft现在也可供其他对手使用 ，他们可以快速学习设计类似的恶意软件，并攻击更广泛的环境，如控制器和工业自动化制造商。像TRITON这样的行动需要大量的准备工作，以及逆向工程能力和对多种侦察和交付工具的访问。


https://cyberx-labs.com/en/blog/ ... t-attack-framework/

---