每日安全简讯(20181013)

1 安全厂商发布在荷兰活动的APT组织分析报告

卡巴斯基对在荷兰活跃的APT组织进行了梳理。首先收集了2014年9月至2018年9月所有针对荷兰IP的sinkhole数据，过滤后，将DNS条目与DNS数据库进行匹配，然后根据APT发出的模板请求检索原始请求，最后列表中留下的每个IP，试图将它们与组织联系起来。通过上述方法，发现以下在荷兰活跃或已经活跃的APT：BlackOasis，Sofacy，Hades，Buhtrap，The Lamberts，Turla，Gatak，Putter Panda，Animal Farm。报告中称在查看荷兰的潜在目标并将其与某些APT组织的利益进行比较时，发现这些活动是有理可循的。目前该报告所整理的针对荷兰的APT组织并不完整，但可以看到使用普通网络犯罪恶意软件的组织数量很多，表明部分APT组织使用的攻击手段并不复杂，所以做好基础的网络安全预防措施很重要。


https://securelist.com/threats-in-the-netherlands/88185/

---

2 安全厂商观察到新Android木马程序GPlayed

思科Talos观察到一款新Android木马程序GPlayed。程序名称为Google Play Marketplace，使用与Google Apps相似图标进行伪装。该木马由.NET编写，在Xamarin环境构建，主DLL为Reznov.DLL，包含一个eClient根类，它是该木马的核心。GPlayed功能强大，可以在部署后进行扩展，攻击者能够远程加载插件，注入脚本甚至编译可执行的新.NET代码，而无需重新编译和更新设备上木马程序包。一旦进入Android设备，GPlayed将启动不同的计时器来执行各种任务，实现包括间谍，泄露数据和自我管理功能。除了窃取消息和联系人，拨打电话和发送短信的常规功能外，该木马还可以显示USSD消息，启动应用程序，擦除设备，添加和删除Web注入，收集支付卡信息以及设置新的锁定密码等。这种木马显示了威胁进化的新途径，代码可以从桌面平台迁移到移动平台，从而产生混合威胁。目前该木马正处于测试阶段，只在在公共存储库中找到一个用俄语编写的样本。


https://blog.talosintelligence.c ... yedtrojan.html#more

---

3 XMRig挖矿工具伪装Flash更新程序进行分发

Paloalto安全人员最近发现假冒Flash Player的恶意软件，在受害者机器上安装了挖矿工具XMRig的同时，还自动更新所安装的Flash Player为最新版本。由于采用的合法的Flash更新，潜在的受害者可能不会注意到任何异常。一旦启动后，XMRig将连接到xmr-eu1.nanopool.org上的挖掘池，并开始使用几乎100％的计算机CPU，以便挖掘Monero数字加密货币。 研究人员收缩虚假Flash更新时，注意到Windows可执行文件的文件名来自非Adobe的基于云的web服务器。Unit42目前发现自2018年3月以来使用的URL的113个恶意软件样本，其中有473个不同的文件名用于伪造这个XMRig Monero的虚拟Flash更新程序。


https://researchcenter.paloalton ... ptocurrency-miners/

---

4 Drupalgeddon漏洞被用于安装Shellbot后门

IBM安全团队在最近的一次调查中发现，攻击者通过Drupalgeddon 2.0漏洞打开Shellbot恶意软件攻击后门。Drupal是一个开源的内容管理系统（CMS），用于创建、维护网站和应用程序。Shellbot为2005年出现的旧后门脚本，也称为PerlBot或Shellbot，是一种IRC控制的僵尸程序。攻击者利用Drupalgeddon 2.0的关键远程执行代码（RCE）漏洞CVE-2018-7600，最终使用Shellbot进行攻击，扫描还发现另一个非常关键的RCE漏洞CVE-2018-7602。这两个漏洞都已修补，但由于用户延迟修补和升级，漏洞仍然存在。


https://securityintelligence.com ... underlying-servers/

---

5 勒索软件GandCrab V5使用crypter实现混淆

GandCrab V5不仅公开支持FalloutEK，还与加密服务NTCrypt合作，crypter服务提供恶意软件混淆以逃避反恶意软件安全产品的检测。GandCrab的目标是加密受感染系统上的所有或多个文件，并坚持用户付款以解锁它们。GandCrab V5带有两个试图提升特权的漏洞，其中CVE-2018-8440可能会影响Windows 7到Windows 10 Server的版本，而CVE-2018-8120在Windows 7、Server 2008 R2和Server 2008允许从内核中提升权限。GandCrab V5存在两个版本，一个仅适用于Windows 7或更高版本，另一个由黑客“SandboxEscaper”在Twitter和GitHub上发布。


https://securingtomorrow.mcafee. ... ce-for-obfuscation/

---

6 Juniper修复存在路由和交换设备中多个漏洞

Juniper发布针对30多个漏洞的修复程序，这些漏洞影响其运行Junos OS的路由、交换和安全产品。其中CVE-2018-7183为关键的缓冲区溢出漏洞，可以允许远程攻击者通过利用ntpq查询并使用精心设计的数组发送响应来执行任意代码。如果设备在配置为接收此类流量的接口上收到特制的恶意MPLS数据包，则CVE-2018-0049可能导致Junos OS内核崩溃，从而导致拒绝服务。如果系统上的任何密码为空，CVE-2018-0044可能允许远程未经身份验证的访问。Juniper还在ntpd（NTP守护程序）中修复了六个漏洞，其中大多数都可能导致DoS攻击。


https://www.helpnetsecurity.com/ ... er-vulnerabilities/

---