每日安全简讯(20190224)

1 朝鲜组织使用BabyShark攻击美国安全机构

研究人员近日确定了在2018年11月针对美国传播BabyShark恶意软件的攻击活动与朝鲜有关。攻击者明确关注收集与东北亚国家安全问题有关的情报。BabyShark使用朝鲜基础设施，鱼叉式网络钓鱼邮件发件人伪装成美国核安全专家，主题涉及朝鲜核问题等东北亚安全问题。邮件附件为包含宏的Excel，恶意宏执行时，远程加载第一阶段HTA，发送HTTP GET请求，然后使用解码器响应内容解码。解码后的VB脚本添加注册表项，为Word和Excel启用所有要执行的宏，然后发出一系列Windows命令并保存结果。收集数据使用Windows certutil.exe工具进行编码，然后通过HTTP POST请求上传到C2。研究人员发现BabyShark幕后攻击者可能与KimJongRAT恶意软件系列的来自同一个组织，还与STOLEN PENCIL活动的攻击者共享资源。


https://unit42.paloaltonetworks. ... curity-think-tanks/

---

2 攻击者利用LinkedIn求职资料传播More_eggs

研究人员发现提供虚假工作消息的网络钓鱼活动。攻击者首先通过利用LinkedIn的私信服务，与潜在受害者建立关系，然后滥用LinkedIn相关求职资料，假装提供就业机会公司，针对潜在受害者发送钓鱼邮件，邮件带有提供具体职位介绍的嵌入式URL或PDF等恶意附件，URL将受害者链接到虚假网页，登陆页面后，将下载带有恶意宏的Word文件或下载JScript加载程序，最终下载并执行More_eggs后门。


https://www.proofpoint.com/us/th ... oor-fake-job-offers

---

3 黑客利用虚假谷歌reCAPTCHA隐藏恶意软件

研究人员发现了冒充谷歌reCAPTCHA针对波兰银行用户网络钓鱼活动。钓鱼邮件发送要求用户确认交易的虚假内容，确认链接指向恶意PHP文件，访问者被专门定义了用户代理，显示虚假的404错误页面。如果用户使用代理过滤器，将显示虚假的Google reCAPTCHA页面。然后恶意PHP文件会再次检查受害者的浏览器用户代理，根据手机系统执行相关操作，下载对应版本的恶意软件。


https://blog.sucuri.net/2019/02/ ... anking-malware.html

---

4 新木马攻击形式使用广泛且快速变换的数据

安全团队发现了一种传播广泛、快速变化的木马攻击模式，该模式会更加快速地关闭目标url。此次攻击活动中，使用各种不同的主题行、电子邮件内容、电子邮件地址、目标名称和目标URL。攻击由三波组成，每波对应一个不同的目标URL。最初感染点是发送给公司员工的网络钓鱼电子邮件，其带有员工姓名，主题为收据、发票等。发件人电子邮件地址是受到破坏的合法帐户，主要来自南美公司。邮件带有的链接自动下载Word模板，该文件包含木马。


https://www.greathorn.com/fast-c ... s-as-a-paid-nvoice/

---

5 Office 365网络钓鱼页面附带实时聊天支持

研究人员发现了伪装Office 365的网络钓鱼诈骗活动。其网络钓鱼邮件使用模仿Office 365地址和MSOffice姓名发送虚假微软警告，要求续订Office套装服务。点击链接后，将跳转到制作劣质的虚假Office 365网站，为了增加可信性，骗取用户信息，网络诈骗者将合法的聊天软件tawk.to整合到页面中， 来假装提供客户支持服务。


https://www.bleepingcomputer.com ... -live-chat-support/

---

6 ICANN发布针对互联网基础设施的攻击警告

互联网名称与数字地址分配机构（ICANN）发布警告称，互联网基础设施的关键部分面临着威胁全球网络流量系统的大规模攻击。ICANN在紧急会议结束后表示影响网站所在域名的基础设施的关键部分面临“持续的重大风险”，恶意活动的目标是将流量路由到预期在线目的地的DNS，攻击者可能在过程中窥探数据。ICANN CTO表示没有一种工具可以解决这个问题，并呼吁全面加强网络防御。


https://www.securityweek.com/war ... rnet-infrastructure

---