每日安全简讯(20180527)

1 安全厂商发布白象组织近期攻击活动分析

安全厂商趋势科技发布白象APT组织近期攻击活动分析，研究人员近期发现Confucius组织与白象的Delphi恶意代码存在相同之处，Confucius诱使受害者安装色情APP应用实现入侵。攻击目标位于南亚，尤其针对巴基斯坦。并且如果受害者不是来自以下区域则退出并删除，包括大部分南亚和东南亚国家、大多数中东国家、大多数非洲国家、欧洲只有乌克兰、美洲的特立尼达和多巴哥。白象攻击活动仍在持续，使用CVE-2017-8570漏洞传播RTF文件，投放恶意远控代码QuasarRAT。


https://blog.trendmicro.com/tren ... ons-with-patchwork/

---

2 黑客利用安卓恶意代码窃取美元而被逮捕

安全厂商Group-IB协助俄罗斯执法部门逮捕了一名黑客，该黑客使用安卓手机恶意代码窃取俄罗斯银行客户的财产，受害者每天损失1500至8000美元。


https://securityaffairs.co/wordp ... mobile-malware.html

---

3 勒索软件Crypton使用RDP服务实现入侵

安全厂商Malwarebytes的研究人员发现勒索软件Crypton近期开始活跃，攻击者主要通过RDP远程桌面服务攻击计算机，一旦攻击者获得计算机访问权限，随即手动执行勒索软件并加密文件，最后将加密文件后缀名修改为.ransomed @ india.com


https://www.bleepingcomputer.com ... e-desktop-services/

---

4 银行木马BackSwap滥用浏览器实现攻击

安全厂商ESET的研究人员发现一个新的银行木马BackSwap，与传统的银行木马使用的重定向中间人技术、浏览器进程注入技术不同。该木马首先通过本地windows消息循环机制检测用户何时访问银行相关网站，再滥用浏览器开发者平台来模拟按键，通过针对不同银行注入不同的JavaScript脚本完成攻击。


https://www.welivesecurity.com/2 ... mpty-bank-accounts/

---

5 研究者表示工控Triton恶意代码仍然活跃

工控网络安全公司Dragos的研究人员表示与Triton恶意代码有关的威胁组织仍然活跃，目前发现Triton的目标也包括除了施耐德Triconex以外的安全控制器。


https://www.securityweek.com/hac ... ityWeek+RSS+Feed%29

---

6 研究者称可从AMD加密虚拟化恢复数据

来自德国的四位安全研究人员本周发布了一篇研究论文，介绍了可从AMD的安全加密虚拟化（SEV）恢复加密数据的方法SEVered，能够从同一台服务器受到攻击的访客虚拟机中恢复内存明文数据。


https://www.bleepingcomputer.com ... machine-encryption/

---