每日安全简讯(20190209)

1 研究人员揭示APT组织GAMAREDON攻击活动

研究人员对俄罗斯APT组织Gamaredon的新二进制文件进行了分析。Gamaredon是2013年开始活跃的APT组织。新活动中使用的恶意软件为Pteranodon植入工具，它提供远程命令执行、下载和执行其它文件以及收集系统数据等功能。研究人员发现该组织正从使用动态DNS主机名的历史模式转变为注册自己的域，目前此次分析的域和IP地址仍在解析中。


https://blog.threatstop.com/russ ... tm_content=69707950

---

2 Ursnif银行木马使用新隐写技术攻击意大利

研究人员发现Ursnif银行木马新变种攻击意大利。该变种使用主题为订单、发票的武器化Excel文档，其嵌入了恶意VBA宏，宏首先使用Office属性检查受害者地区（针对意大利），并充当释放器，启动多阶段高度混淆的PowerShell脚本，以隐藏真正的有效载荷。Ursnif使用隐写技术来隐藏恶意代码并避免AV检测。该变种在目标进程中没有创建远程线程，而是使用QueueUserAPC进程注入技术以更隐蔽的方式注入explorer.exe。


https://blog.yoroi.company/resea ... anography/#comments

---

3 DanaBot木马变种使用全新C2通信协议

研究人员发现DanaBot木马新变种，更新为更复杂的C＆C通信以及对架构和活动ID的轻微修改。新版本的DanaBot在2019年1月底使用全新的C＆C通信协议，增加使用AES和RSA加密算法的加密层，并且服务器响应中的数据包数据不遵循任何特定布局，这些更改中断了现有的基于网络的签名。架构中增加新的加载程序组件，用于下载所有插件以及主模块，并通过注册为服务实现持久性。目前新变种正通过传递给现有的DanaBot受害者和针对波兰的垃圾邮件活动进行传播。


https://www.welivesecurity.com/2 ... w-cc-communication/

---

4 Kunbus工业网关中漏洞允许黑客控制设备

研究人员在德国Kunbus制造的网关中发现了5个漏洞，其中一个关键漏洞为CVE-2019-6527，因网关的Web应用程序在密码更改时无法验证用户是否已登录导致，允许攻击者完全控制设备并锁定合法管理员。另一个关键漏洞为CVE-2019-6533，可允许攻击者在不进行身份验证的情况下，读取和修改用于存储Modbus值的寄存器，并通过重新启动设备来导致DoS攻击。目前Kunbus已发布软件更新应修补了以上漏洞。


https://www.securityweek.com/cri ... -industrial-gateway

---

5 新Android漏洞可致黑客发起PNG图像攻击

谷歌披露Android操作系统框架中的关键漏洞会影响Android设备，其中严重漏洞包括CVE-2019-1986、 CVE-2019-1987和CVE-2019-1988，攻击者可通过向Android设备用户发送特制的恶意.PNG图像文件，用户打开后，将触发所利用的漏洞，然后，攻击者可以在特权进程或非特权进程的上下文中执行任意代码等操作。以上漏洞会影响Android版本7.0到9.0，目前已在2019年2月的Android安全公告中得以修复。


https://cyware.com/news/critical ... ew-patches-224a1210

---

6 Apple发布安全更新修复FaceTime漏洞

Apple发布iOS 12.1.4和macOS 10.14.3操作系统的两个紧急更新，以修复最近发现的FaceTime漏洞和其它漏洞。FaceTime漏洞CVE-2019-6223可允许Group FaceTime群组通话发起者，可对接收者进行监视或监听。此次更新还包括两个内存损坏漏洞CVE-2019-7286（提升权限）和CVE-2019-7287（任意代码执行），还有与FaceTime有关的Live Photos中的漏洞CVE-2019-7288。Apple建议相关用户及时更新。


https://thehackernews.com/2019/0 ... pdate-facetime.html

---