每日安全简讯(20180803)

1 美国指控三名乌克兰黑客组织的成员

美国司法部8月1日宣布对FIN7（Carbanak或Cobalt）黑客组织成员的三名乌克兰人Dmytro Fedorov、 Fedir Hladyr与Andrii Kopakov提出指控，美国司法部表示他们从超过3600个营业点的6000多个销售点（POS）终端窃取了超过1500万张支付卡号码，并出售了他们在暗网上获取的支付卡细节以获取利润。该集团还攻击了英国，澳大利亚和法国的企业。该组织以攻击银行和金融机构而臭名昭著，卡巴斯基在2015年称他们偷走了近10亿美元。
自2013年至2016年活跃以来，该组织通过开发并使用Anunak、Carbanak（Anunak的更复杂的版本）和基于合法的渗透测试框架Cobalt Strike的自定义的恶意软件的三个主要阶段，攻击手法都是向目标发送鱼叉式网络钓鱼电子邮件，FIN7还经营一家名为Combi Security虚假的网络安全公司，现已解散。FireEye在今日发布的一份研究报告推测：FIN7可能会因此事件，被迫拆分成更小的团伙，Group-IB在5月份发现新攻击与思科Talos本周发表的“Multiple Cobalt Personality Disorder”都描述了与该团体相关的活动。


https://www.bleepingcomputer.com ... banak-hacker-group/

---

2 巴西MikroTik路由器大规模受到感染

8月1日，安全公司Trustwave研究人员发现，巴西7万台MikroTik路由器被注入指向同一sitekey(加密货币钱包)的脚本。进一步研究表现，攻击者使用的是今年4月发现的漏洞，虽然MikroTik在漏洞报告的当天就发布了修复补丁，但仍有数十万台并未及时修复。攻击者以Mikro Tik管理工具Winbox为攻击向量，进入路由器并取得远程管理员访问权限。然后，攻击者没有直接利用路由器进行挖矿，而是定制了藏有CoinHive脚本的出错页面，将脚本注入访问路由器的用户浏览器。目前该活动已蔓延到全球，超过20万台Mikro Tik路由器成为分发CoinHive 脚本的工具，并且已出现第2个sitekey。


https://www.bleepingcomputer.com ... 0-mikrotik-routers/

---

3 研究人员发现Bisonal恶意软件新变种

帕洛阿图（Palo Alto）公司的安全研究人员发现了Bisonal恶意软件的新变种，该变种至少在2014年已开始运用，目前用于对俄罗斯的一些机构进行攻击。与原Bisonal初始版本相比，新版本增加了若干改变，包括对C2通信的不同密码和加密方法、重写了用于维护持久性和网络加密的大量代码。研究人员称，该攻击活动是今年5月发现的，但到目前为止仅采集到14个样本，这表明该变种尚未得到广泛应用。Bisonal已存在至少7年，其攻击手法却保持相对稳定，包括以动态DNS为C2服务器、将Bisonal软件伪装为PDF、Word或Excel文档等。2017年10月，韩国安全公司AhnLab曾分析过针对韩、日、印、俄的“苦饼干”攻击，使用的正是Bisonal及其衍生版本。


https://cyware.com/news/new-vers ... and-russia-05017690

---

4 社交网站宣布发生绕过2FA的安全漏洞

Reddit8月1日宣布了一项安全漏洞，黑客在6月14日至6月18日之间攻击了此社交平台，通过绕过双因素身份验证（2FA），破坏了几名员工的账户，窃取了一些电子邮件地址，日志文件以及一个2007年的数据库备份文件，该文件中包含加密过的hash密码，并在6月19日发现了漏洞。Reddit表示，通过锁定和轮换所有生产机密和API密钥，黑客未对其服务器进行写访问，但获得了读取权限，并窃取了网站旧版本的密码和最近的用户名和电子邮件，意味着黑客知道了员工的帐户密码，NIST建议不要使用基于SMS的2FA。


https://www.bleepingcomputer.com ... ypassed-staffs-2fa/

---

5 Microsoft浏览器中漏洞被旧版本滥用

Microsoft已修复Edge浏览器中的一个漏洞，可能会被旧版本滥用以从用户的计算机窃取本地文件。该漏洞涉及所有浏览器支持的同源策略（SOP）安全功能，SOP的工作原理是阻止攻击者通过与子域，端口和协议不匹配的链接加载恶意代码。当欺骗用户在PC上下载恶意HTML文件并运行，通过 file://协议加载恶意代码，收集和窃取任何本地文件。因为是社会工程涉及利用这个缺陷，所以它不能大规模自动化攻击，但可能对针对高价值目标的更有针对性的攻击很有用。微软已经在最近的Edge and Mail and Calendar应用程序版本中解决了这个问题。


https://www.bleepingcomputer.com ... -steal-local-files/

---

6 《2017年中国互联网网络安全报告》发布

2018年8月2日，国家计算机网络应急技术处理协调中心（以下简称“CNCERT”）发布《2017年中国互联网网络安全报告》。该报告汇总分析了CNCERT自有网络安全监测数据和 CNCERT网络安全应急服务支撑单位报送的数据，具有鲜明的行业特色和重要的参考价值，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中，报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、安全漏洞预警与处置、网络安全事件接收与处理、网络安全信息通报等情况进行深入细致的分析，并对2017年的典型网络安全事件进行专题介绍。此外，该报告对2017年国内外网络安全监管动态、国内网络安全组织发展情况和国内外网络安全重要活动等做了阶段性总结。最后，报告对2018年网络安全热点问题进行预测。


https://mp.weixin.qq.com/s/HxJldUFinljQp4ZpErQeYw

---