每日安全简讯(20181110)

1 安全厂商揭示Lazarus组织的ATM攻击行动

2018年10月2日，US-CERT，国土安全部，财政部和联邦调查局发出警报。Hidden Cobra（Lazarus）至少从2016年起就从亚洲和非洲的银行窃取自动柜员机（ATM）的资金，进行“FASTCash”攻击。根据US-CERT的报告，赛门铁克的研究人员发现了该组织近期攻击金融使用的关键组件。Lazarus首先违反了目标银行的网络并破坏了处理ATM交易的交换机应用服务器。在名为“FASTCash”的行动中，Lazarus首先入侵了目标银行的网络并破坏了处理ATM交易的交换机应用服务器，然后部署Trojan.Fastcash恶意软件，该恶意软件以前没有使用过。恶意软件拦截虚假的现金提取请求并发送批准回复，攻击者就可以从ATM中窃取现金。根据美国政府的警报，2017年发生的一起事件中，30多个国家的ATM机同时取现现金。在2018年的另一起重大事件中，现金来自23个不同国家的自动取款机。到目前为止，Lazarus FASTCash估计已经盗了数千万美元。


https://www.symantec.com/blogs/t ... lazarus-atm-malware

---

2 挖矿恶意代码Coinminer使用多种混淆手段

研究人员发现加密货币挖掘恶意软件Coinminer.Win32使用多个混淆和打包技术躲避检测。值得注意的是，恶意软件利用合法应用程序Windows Installer MSI安装到受害者计算机上，以规避检测。恶意软件将会安装在％AppData％\ Roaming \ Microsoft \ Windows \ Template \ FileZilla Server目录中，如果用户的计算机中尚未存在该目录，则会创建该目录。该目录下还会放置终止当前正在运行的反恶意软件进程列表的.bat脚本文件、另一个文件的解压缩工具（放在目录icon.ico中）以及密码保护的zip文件冒充图标文件。icon.ico中包含两个附加文件：负责解密和安装加密货币挖掘模块的加载器模块和Delphi编译的UPX打包的加密货币挖掘模块。然后，在上述目录下的{Random Numbers}中创建内核文件ntdll.dll和Windows USER组件user32.dll的副本。这样做可能会阻止检测恶意软件的API。安装完成后恶意软件会删除其安装目录下的每个文件，并删除系统中的安装痕迹。


https://blog.trendmicro.com/tren ... art-of-its-routine/

---

3 研究者发现针对巴西的Metamorfo银行木马

思科Talos最近发现了正在进行的恶意软件分发活动，这些活动中存在两个独立的感染过程，但最终都针对巴西金融机构投放银行木马。二者在感染过程中使用的各种文件使用相同的命名规则，并且使用链接缩短技术来掩盖实际使用的分发服务器。研究人员使用托管在免费网络托管平台上的压缩文件识别出其中一个垃圾邮件活动。文件包含Windows LNK文件（链接）。LNK文件的目的是下载带有图像文件扩展名（.bmp或.png）的PowerShell脚本。此脚本用于下载托管在Amazon Web Services（AWS）上的存档。另一个感染方式是攻击者利用恶意PE32可执行文件来执行感染过程的初始阶段（而不是Windows快捷方式文件LNK）。PE32可执行文件都有确定的命名方式，执行时，这些PE32文件用于在％TEMP％的子目录中创建批处理文件。然后使用Windows命令处理器执行批处理文件，再执行PowerShell，并执行C2命令。


https://blog.talosintelligence.c ... lian-campaigns.html

---

4 柬埔寨最大的几家ISP遭受了大规模DDoS攻击

柬埔寨几家最大的互联网服务提供商（ISP）在过去几天遭受了大规模DDoS攻击，当地新闻媒体称DDoS攻击是该国历史上最大的攻击之一。这次攻击导致的停机时间持续了半天，互联网访问速度一直缓慢，因为较小规模的DDoS攻击继续袭击ISP。袭击的原因和动机尚不清楚。该国目前没有政治或民间动乱，互联网服务提供商没有报告赎金要求，也没有关于该事件的更多讨论。


https://www.zdnet.com/article/ca ... e-countrys-history/

---

5 思科Small Business交换机存在远程执行漏洞

思科表示运行任何软件版本的Small Business交换机都带有一个用于初始登录的默认帐户。该帐户具有完全管理员权限，并且无法从系统中删除。如果管理员配置超过一个级别15的其他用户帐户，该帐户将被禁用。但是，如果未配置15级帐户或从设备中删除现有的15级帐户，则会重新启用默认帐户，并且不会通知管理员，这意味着攻击者可利用该帐户获得交换机的完全访问权限，从而执行任意命令。该漏洞被追踪为CVE-2018-15439，影响思科小型企业200、300和500系列交换机，思科250和350系列智能交换机以及思科350X和550X系列可堆叠管理型交换机。但是不影响220系列智能交换机。思科目前没有发布补丁。


https://www.securityweek.com/def ... ches-remote-attacks

---

6 斯诺登指责以色列向沙特阿拉伯销售监控软件

爱德华·斯诺登在星期三在特拉维夫举行的一次会议上发表讲话时表示，以色列公司NSO公司向沙特阿拉伯销售监控软件，该软件曾用于监控持不同政见的记者Jamal Khashoggi的一位朋友的智能手机。从而造成了该记者的被谋杀。斯诺登表示NSO的Pegasus监控软件被用于针对持不同政见者、反对派人士、活动家。


https://securityaffairs.co/wordp ... rder-nso-group.html

---