每日安全简讯(20190522)

1 MuddyWater新活动使用新技术逃避检测

Cisco Talos研究人员发现与MuddyWater相关的BlackWater活动，新样本2019年4月开始出现，攻击者已经为其操作添加了三个不同的步骤，允许它们绕过某些安全控制，这表明MuddyWater的策略、技术和程序（TTP）已经发展到逃避检测。钓鱼邮件中的文档要求用户启用宏，宏受密码保护，用户无法在Visual Basic中查看。攻击者使用混淆的Visual Basic for Applications（VBA）脚本，修改注册表维持持久性，然后触发PowerShell stager。stager将与C2服务器通信获取FruityC2的组件代理脚本，用于进一步枚举主机。一旦枚举命令运行，代理将与不同的C2通信并在URL字段中发回数据。攻击者还替换样本中的一些变量字符串，这可能是为了避免根据Yara规则进行基于签名的检测。


https://blog.talosintelligence.c ... ted-blackwater.html

---

2 安全厂商发布W97M恶意软件活动分析报告

W97M / Downloader过去被用于针对银行的大规模攻击，在过去一年中用来传播Vawtrak和Dridex银行木马。研究人员发现W97M恶意软件通过自定义PHP 投放器感染网站，投放器托管在多个CMS上，如Magento、WordPress和Joomla，但恶意代码不是基于CMS的。感染通常通过网络钓鱼邮件，用户打开文档后会下载第二阶段有效载荷。在感染的第二阶段，执行包含嵌入式VBA宏的MS Word文档，并开始下载恶意.exe文件。然后恶意软件执行PowerShell命令下载并执行恶意载荷。


https://blog.sucuri.net/2019/05/ ... mised-websites.html

---

3 斯里兰卡大约10个机构网站受到网络攻击

斯里兰卡计算机应急准备小组（SLCERT）表示，包括科威特驻斯里兰卡大使馆在内的几个组织的.lk和.com网站受到了网络攻击。SLCERT在5月18日发现了该事件并立即采取措施通知相关机构，据了解，没有gov.lk网站受到此次攻击影响。SLCERT正在与TechCERT和斯里兰卡网络安全运营部门对入侵事件进行调查，并表示根据斯里兰卡计算机犯罪法，可以对攻击者采取法律措施。


http://www.dailynews.lk/2019/05/ ... ding-kuwait-embassy

---

4 研究人员称已成功创建微软RDP漏洞PoC

微软远程桌面服务中存在远程代码执行漏洞CVE-2019-0708，被称为BlueKeep，该漏洞无需身份验证即可远程工作，如果被成功利用，攻击者无需用户交互即可将恶意软件安装在用户计算机上并且可以获得最高权限。研究人员Valthek称创建了触发RDS错误的概念验证代码，但没有公布更多细节。迈克菲的高级首席工程师已经证实其概念验证（PoC）代码是成功的。卡巴斯基研究人员也分析了这个漏洞，在Windows XP虚拟机上触发了漏洞，其推文也没有公布更多细节。


https://www.bleepingcomputer.com ... e-coming-patch-now/

---

5 研究人员发现Linux内核中权限提升漏洞

研究人员在Linux内核中发现了权限提升漏洞CVE-2019-11815，CVSS得分为8.1，存在于通过TCP实现可靠数据报套接字（RDS）的过程中，攻击者可以利用此漏洞无需用户交互访问受限信息或触发拒绝服务条件。该漏洞仅影响5.0.8之前的Linux内核。根据Canonical发布的安全公告，没有证据表明该漏洞可以远程利用。


https://securityaffairs.co/wordp ... 15-linux-flaws.html

---

6 俄勒冈州建筑承包委员会泄露超8千个账户

2019年4月12日，俄勒冈州建筑承包委员会在例行检查时发现，未经授权的账户在2018年10月27日至10月29日期间非法访问该机构的数据库，影响了近8013个在线承包商账户。在8013个承包商账户中，466个账户包含个人信息，如姓名、电子邮件地址、地址和密码哈希值、身份证号码/驾驶证号码。该组织立即采取措施确定事件影响的范围，加强其密码保护安全性，并要求承包商重置其密码。此外，它还为所有受影响的帐户提供1年免费身份盗窃保护和身份盗窃恢复服务。


https://cyware.com/news/oregon-c ... r-accounts-51323474

---