每日安全简讯(20190420)

1 俄罗斯组织Earworm持续针对北约开展网络战

安全厂商PandaSecurity表示俄罗斯APT组织Earworm（也称为Zebocracy）在过去几年中，一直针对北约开展网络战，从相关国家机构和政府窃取机密、敏感数据。证据表明该组织与APT28组织（也称为Fancy Bear）有关，并与俄罗斯GRU（军事情报部门）、SVR（外国情报局）和FSB（国家安全委员会）存在联系。Earworm网络攻击的切入点是包含附件的电子邮件，冒充值得被攻击目标信任的人，发送给目标组织的员工和高级官员，一旦下载恶意文件，将被感染恶意软件，其中Zekapab还能够截屏、运行独立文件、键盘记录，以便能够看到计算机用户正在写的所有内容，还能能够自动下载其它恶意软件工具。


https://www.pandasecurity.com/me ... t-28-cyberwar-nato/

---

2 研究人员针对APT28攻击活动进行关联性分析

Yoroi研究人员在2019年4月12日发布了以乌克兰选举为主题的恶意文件分析，但由于不确定对APT28的归因，研究人员对以往APT28的攻击活动进行了分析，最终在2017年攻击酒店的活动样本，发现二者攻击手法十分相似。2017年的活动中，攻击者使用了伪造的酒店预订请求表单，其中包含一些虚拟的交互式文本框，用于引诱受害者执行恶意宏代码。解码后为DLL文件，通过ASR旁路技术执行，最终投送GAMEFISH恶意软件。二者相同之处包括宏代码采用密码保护，主宏功能名称相同，从Office工作空间创建新进程的ASR技巧使用相同指令，实际有效载荷都在Base64中编码，并存储在Office隐藏部分中。


https://blog.yoroi.company/resea ... ce-signals-part-ii/

---

3 新版本Predator the Thief持续攻击俄语使用者

FortiGuard Labs在2019年3月发现使用新版本窃取程序“Predator the Thief”针对俄语使用者的持续攻击活动。研究人员对其旧版本v3.0.8进行了分析。攻击者使用一组虚假文件使用不同的网络钓鱼形式，包括压缩文件、虚假文档、虚假pdf和WinRAR漏洞（CVE-2018-20250），来投送Predator the Thief。虚假文档由AutoIt打包两次，Predator恶意软件由CypherIT打包，当AutoIt脚本调用shellcode时，将创建一个挂起进程注入有效载荷。恶意软件代码是混淆的，并包含用于执行伪字符解码类函数对。幕后开发者在暗网上表示最新版本v3.2.0可以实现无文件攻击，但目前研究人员还未找到v3.1.0或v3.2.0的样本。


https://www.fortinet.com/blog/th ... outes-delivery.html

---

4 Broadcom WiFi芯片组驱动程序包含多个漏洞

Broadcom wl驱动程序和Broadcom WiFi芯片组的开源brcmfmac驱动程序包含多个漏洞。Broadcom wl驱动程序存在两个堆缓冲区溢出漏洞（CVE-2019-9501和CVE-2019-9502），而开源brcmfmac驱动程序存在帧验证绕过漏洞（CVE-2019-9503）和堆缓冲区溢出漏洞（CVE-2019-9500）。这些高危漏洞将允许攻击者通过发送特制的WiFi数据包，能够在易受攻击的系统上远程执行任意代码，这些漏洞还将导致拒绝服务攻击。目前以上漏洞已被修复。


https://www.kb.cert.org/vuls/id/166939/

---

5 Azure云平台漏洞允许黑客劫持Microsoft服务

网络安全专家发现了一个存在微软Azure云服务中未修补的漏洞，该漏洞允许攻击者控制Windows Live Tiles。Live tile是微软在Windows 8操作系统引入的关键功能之一，旨在在“开始”屏幕上显示内容和通知，允许用户从应用和网站中提取最新信息。为了使网站更容易将其内容作为Live Tiles提供，微软在单独域的子域上，允许网站管理员自动将其RSS源转换为特殊的XML格式，并将其用作其网站上的元标记。微软已关闭了这项服务，托管在自己的Azure云平台的Azure帐户上，但没有删除名称服务器条目，导致子域仍然指向Azure服务器。该漏洞允许黑客使用Azure上新创建的帐户重新使用子域名，最终劫持该服务。


https://thehackernews.com/2019/04/subdomain-microsoft-azure.html

---

6 不安全数据库泄露约6千万条LinkedIn用户记录

GDI基金会的安全研究员发现八个不安全的数据库，泄露了约6000万条LinkedIn用户信息记录。虽然大多数信息是公开的，但除LinkedIn个人资料信息，数据库包含LinkedIn用户的电子邮件地址。研究人员表示数据每天被移除并加载到另一个IP上，而且数据库变得无法访问或无法再连接到特定的IP。LinkedIn表示通过调查表明，第三方公司暴露了一系列来自LinkedIn公开个人资料以及其它公司的数据。截至2019年4月15日，数据库已得到保护，无法再通过互联网访问。


https://www.bleepingcomputer.com ... aped-linkedin-data/

---