每日安全简讯(20190515)

1 安全厂商发布APT组织ScarCruft新活动分析

ScarCruft是由国家支持的使用韩语的威胁组织，主要针对与朝鲜半岛有关的组织和公司。ScarCruft组织使用鱼叉式网络钓鱼和战略网络入侵（SWC）等常见投递技术，在一些复杂的攻击中利用零日漏洞。ScarCruft组织使用多阶段二进制感染，初始投放器功能之一是绕过Windows UAC（用户帐户控制），然后以更高的权限执行下一个有效载荷。恶意软件使用权限提升漏洞CVE-2018-8120的公开利用代码，安装程序从其资源创建下载程序和配置文件并执行，下载程序使用隐写术，它配置文件连接到C2服务器以获取下一个有效载荷。下载的有效载荷是图像文件，包含加密的附加恶意载荷。最终有效载荷是ROKRAT。ScarCruft组织还创建了蓝牙设备收集器用于窃取蓝牙设备信息。研究人员分析发现ScarCruft和DarkHotel组织之间存在重叠。


https://securelist.com/scarcruft ... th-harvester/90729/

---

2 Fxmsp组织攻击美国反病毒公司新细节曝光

俄罗斯Fxmsp组织声称持有了从三家主要防病毒公司软件开发相关的独家源代码。赛门铁克公司已经承认2012年其网络遭到入侵。2015年，卡巴斯基称其内部网络已被黑客渗透，同年Bitdefender未加密客户登录数据失窃。三家公司都表示入侵事件没有产生持久或重大影响。赛门铁克表示失窃的都是老旧产品的代码，卡巴斯基表示早就发现入侵行为，并且研究了对手的工具和基础设施情况，比特梵德公司表示所泄数据不足其客户的1%。AdvIntel网络安全公司研究人员分析认为Fxmsp破坏了受害公司网络的活动日志，并借助外部远程桌面协议服务器与受害网络建立持久性联系。搜集到的Fxmsp组织成员在侵入受害公司网络时对话的日志快照显示他们从McAfee和Trend Micro网络中窃取了源代码。


https://www.bleepingcomputer.com ... ntivirus-companies/

---

3 安全厂商发布Hworm/njRAT变种技术分析

Hworm/njRAT是一种远程访问工具（RAT），自2013年以来针对国际能源行业进行攻击，主要针对中东地区。Morphisec Labs研究人员发现了新变种，利用DynamicWrapperX进行无文件VBScript注入，并且使用了新混淆技术。第一阶段是多层混淆的VBS文件，下一阶段VBS文件包含3个base64编码的模块：DCOM_DATA、LOADER_DATA和FILE_DATA。FILE_DATA被两层编码，最外面是base64，它在第二阶段使用LOADER_DATA（RunPE）注入'msbuild.exe' 。FILE_DATA是Dot Net编写的可移植的可执行文件，用于解码FILE_DATA，解码后是Hworm（njRAT）配置，包括：木马程序、安装路径、互斥量、C2地址、端口号和套接字。


http://blog.morphisec.com/hworm-houdini-aka-njrat

---

4 WhatsApp漏洞可被利用安装NSO间谍软件

Facebook于5月初发现了WhatsApp中存在零日漏洞CVE-2019-3568，该漏洞是WhatsApp VOIP堆栈中的缓冲区溢出漏洞，攻击者可以利用漏洞通过发送特制SRTCP数据包进行远程代码执行。WhatsApp零日攻击已被威胁行为者利用安装监视公司NSO Group开发的间谍软件。英国《金融时报》表示，攻击者只需通过WhatsApp拨打目标设备无需受害者互动即可利用WhatsApp零日漏洞，并且攻击之后设备上没有传入恶意呼叫的记录。NSO Group否认对政府机构提供任何支持。


https://securityaffairs.co/wordp ... tsapp-zero-day.html

---

5 思科披露两个高严重性漏洞影响数百万设备

思科披露了两个高严重性漏洞，其中一个（CVE-2019-1649）尚未修补，允许经过身份验证的本地攻击者将修改后的固件映像写入该组件，思科表示一次成功的攻击可能导致设备无法使用（并需要更换硬件）或允许篡改安全启动验证过程。第二个漏洞（CVE-2019-1862）也存在于Cisco IOS XE操作系统中。具有有效管理员访问权限的攻击者可以通过在Web UI中的表单上提供特殊的输入参数并提交来利用此漏洞。此漏洞影响数百万台思科设备，特别是那些运行受影响的Cisco IOS XE软件版本且启用了HTTP服务器功能的设备。


https://threatpost.com/cisco-bug ... ons-devices/144692/

---

6 Boost Mobile遭到黑客入侵泄露客户账户

虚拟移动网络Boost Mobile发布数据泄露通知确认受到黑客入侵，黑客利用Boost电话号码和Boost.com PIN码进行撞库攻击，访问了客户帐户。入侵发生在3月14日，Boost IT团队发现并阻止了访问。该公司没有透露受影响的客户数量，但表示客户的信用卡和社会安全号码是加密的，不会受到损害。


https://techcrunch.com/2019/05/13/boost-mobile-hackers-accounts/

---