每日安全简讯(20180806)

1 安全厂商揭示Gorgon黑客组织系列攻击行动

网络安全公司Palo Alto Networks最新研究发现，最近几个月内一个集中在巴基斯坦犯罪黑客组织Gorgon group对美国，英国，俄罗斯和西班牙政府组织进行了一系列攻击。该组织一直瞄准在巴基斯坦运营的外国政府机构，部分是通过恶意软件提供的Microsoft Word文件，通常使用共享基础设施以全球各地为目标进行犯罪和有针对性的攻击行动。Gorgon Group的使用大量诱饵文件和网络钓鱼电子邮件的攻击手段虽然不精通但是却很有效，通过常用的URL缩短工具仔细跟踪其荷载的点击频率，使用域名来执行基础广泛的网络犯罪和针对性攻击的混合，在“几乎没有警告”的情况下从一个网站转移到另一个网站。而且组织的命令和控制基础设施充斥着犯罪软件样本，包括NjRat、Lokibot。360和Tuisec之前也对相关攻击进行技术分析，结合来看Unit 42研究人员可以确定跟踪超过一年的攻击者Subaat是Gorgon Group的成员，并且还发现此组织中的另外四名黑客。


https://researchcenter.paloalton ... n-state-cybercrime/

---

2 推特攻击意大利总统行动疑与troll farm有关

意大利总统塞尔吉奥·马塔雷拉在前一阶段受到数千名Twitter用户要求他辞职的信息。消息显示为使用标签#MattarellaDimettiti（Mattarella辞职）的协同攻击，此标签互联网上迅速传播，并在当日凌晨2点信息数量出现了异常激增。意大利赫芬顿邮报报道，在消息异常激增的几分钟内，产生从来自单一起源的大约400个新的个人档案，该起源协调了错误信息活动。这个时间点很可疑，所以此活动很有可能在国外创建。意大利执法部门将攻击归因于特定的威胁组织，攻击者采用了无法找到控制室的的反制措施。由Firethirtyeight网站通过对圣彼得堡的互联网研究机构Ira（俄罗斯巨魔工厂）的分析发现，至少一次或多次使用了20个意大利人的Twitter资料。专家与媒体称，意大利总统塞尔吉奥·马塔雷拉是俄罗斯巨魔工场的最新受害者。


https://securityaffairs.co/wordp ... -troll-factory.html

---

3 苹果芯片供应商台积电数家工厂遭病毒入侵

全球最大的科技巨头芯片合约制造商中国台湾台积电的数家工厂在周五晚上遭病毒入侵，此次感染是台积电在为苹果公司的下一部iphone增加芯片制造过程中遭受的最严重的破坏情况之一，也是该公司首次生产线受到影响的攻击。据称该病毒并非由黑客引入，且首次使台积电工厂陷入瘫痪状态，受病毒感染程度各不相同。目前部分工厂在短时间内已恢复正常，其余工厂预计在周日之前恢复正常，此处事件可能对台积电造成很严重经济影响，该公司尚未发布相关的损失信息。


https://securityaffairs.co/wordp ... ware-infection.html

---

4 研究人员发现Linux内核漏洞的计时器错误

近日研究人员发现了Linux内核中的一个漏洞，由于一个有bug的showtimer函数，导致在内核版本3.10中引入了编程错误（CVE-2017-18344）。该漏洞可被利用来从受保护的内核内存中泄漏敏感数据（如加密密钥和密码）和读取它不应该监视的内存，这与Spectre和Meltdown处理器设计漏洞的方式非常相似。修复程序需要数月时间才能进入Linux发行版。


https://www.theregister.co.uk/2018/08/04/security_roundup/

---

5 Salesforce产品的API错误导致用户数据泄露

全球顶尖的在线客户关系管理（CRM）提供商Salesforce.com上周二（8月2日）向用户发布通告，称其在6月4日至7月7日间提供的Marketing Cloud产品中包含一个代码错误，部分REST(一种web通信协议) API调用可能产生用户账户数据的错误读写。Salesforce公司于7月18日发现这一问题并于当天部署了应急版，解决了所有Marketing Cloud栈中的问题。虽然公司称尚没有证据表明存在与事件相关的恶意行为，而且已通知所有可能受影响的用户。但分析人员认为，公司没有有效地进行现场监视或记录，致使无法明确用户的数据是否受到影响，这是极奇怪的事情。


https://threatpost.com/salesforc ... akage-snafu/134703/

---

6 “截获短信验证码”盗刷案在我国多地出现

最近一种名为“GSM劫持+短信嗅探技术”的新型犯罪手段在郑州、南京、广州等多地出现，该团伙大多选择凌晨作案，受害者称在早上发现手机收到很多验证码和银行扣款短信，有的网上银行APP登录账号和密码被篡改，在毫无察觉的情况下，银行账户被盗刷。此类新型伪基站诈骗使用的方法是利用GSM（2G网络）设计缺陷，通过特种设备自动搜索附近的2G手机号码，或使用干扰器将3G/4G信号降至2G，然后拦截如运营商、银行发送的短信，获取用户手机短信内容，实现不接触目标手机就获得所接收到的验证短信，进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。其中更危险的新技术是重新定向手机信号，使用GSM中间人方法劫持验证短信，此类劫持和嗅探并不仅限于GSM手机，包括LTE，CDMA类的4G手机也会受到相应威胁。截至今年8月，广州、南京、郑州警方已陆续破获多起此类案件。普通用户基本无法防范，警方呼吁运营商采取有效技术手段和金融类app采用双向验证辅助手段等以尽快解决此问题。


https://www.cnbeta.com/articles/tech/754045.htm

---