每日安全简讯(20190330)

1 APT33组织针对沙特阿拉伯和美国进行间谍活动

赛门铁克发现APT33组织在2019年2月的间谍活动中利用了WinRAR漏洞CVE-2018-20250，针对沙特阿拉伯和美国的多个机构。APT33（Elfin）在其攻击中部署了各种工具，包括自定义恶意软件、商品恶意软件和开源黑客工具。在针对美国机构的攻击中，钓鱼邮件声称美国全球服务提供商的职位空缺，并包含一个恶意链接，一旦用户点击链接下载并打开恶意HTML可执行文件，该文件就会通过嵌入式iframe从C＆C服务器加载内容。同时嵌入的代码还执行了PowerShell命令，以便从C2服务器下载并执行chfeeds.vbe的副本。chfeeds.vbe文件是下载程序，下载第二个PowerShell脚本。脚本依次从C2服务器下载并执行称为POSHC2的PowerShell后门。


https://www.symantec.com/blogs/t ... fin-apt33-espionage

---

2 安全厂商披露巴西攻击组织新活动使用多年前方法

卡巴斯基研究人员发现巴西攻击组织使用旧方法进行攻击，通过修改 Windows系统上的hosts文件来进行网络钓鱼攻击，使用UTF-8 BOM逃避检测。由于压缩文件以通常在UTF-8文本文件中找到的字节顺序标记（BOM），某些工具不会将此文件识别为ZIP存档格式，而是将其识别为UTF-8文本文件，但WinRAR和7-Zip等程序会正常提取文档内容，从而感染恶意软件。此次攻击最终有效载荷是Banking RAT恶意软件的变种。


https://securelist.com/the-return-of-the-bom/90065/

---

3 安全厂商发现Qrypter新变种针对意大利用户攻击

Yoroi研究人员发现了针对意大利用户的恶意电子邮件，邮件假装是发给用户的传票并要求用户阅读所附的诉讼，实际是Qrypter新变种。Qrypter是一种恶意软件即服务，经常与AdWind / jRAT恶意软件一起被攻击者使用，新变种使用了新的保护技术。大多数文件都是加密的，加密过程利用Java反射使分析更加困难。此外，解密程序使用切换方法实现有限状态机（FSA）。


https://blog.yoroi.company/resea ... he-qrypter-payload/

---

4 微软控制99个APT35组织使用的域名以阻止攻击

微软表示控制了99个APT35组织使用的域名以阻止其攻击。微软数字犯罪单位（DCU）称APT35为Phosphorus，该组织也称为Charming Kitten以及Ajax Security Team，归属于伊朗，主要针对中东地区。APT35通常使用鱼叉式网络钓鱼投递恶意软件。此外还通过电子邮件警告帐户存在安全风险，要求用户输入登录凭证以获得系统访问权限。微软表示已经控制这99个网站并且将来自受感染设备的流量重定向到DCU用于提升检测和保护。


https://blogs.microsoft.com/on-t ... omers-from-hacking/

---

5 研究人员发布Shadow Hammer恶意软件分析

ShadowHammer是一种恶意软件，被用于华硕实用程序的供应链攻击中。一旦下载到目标系统上，它就会加载各种库确定机器的mac地址。只有当MAC地址与一组预定义地址匹配时，它才执行下一个阶段。恶意软件代码中包含正常代码和恶意代码，只有正常代码执行完成才会开始执行恶意代码。研究人员描述了恶意软件中获取哈希值的方法。


https://www.cyberfox.blog/dissecting-shadowhammer/

---

6 UNNAM3D勒索软件将文件打包成RAR文档加密

一个名为Unnam3d R@nsomware的勒索软件通过电子邮件传播，邮件假装来自Adobe，收件人的Adobe Flash Player已过时且需要更新。诱使用户点击虚假Adobe Flash Player更新的链接。勒索软件会解压缩WinRar.exe文件以执行命令，将用户文件移动到加密的RAR文档中。加密后向用户勒索50美元的亚马逊礼券。勒索软件开发者表示发送了3万封电子邮件，勒索到的亚马逊礼品卡会转卖给其他用户。


https://www.bleepingcomputer.com ... demands-gift-cards/

---