每日安全简讯(20190605)

1 安全厂商发布近五年内对Zebrocy的跟踪报告

Zebrocy是俄语APT组织，至少从2015年起，已针对数百个政府、外交事务和军事相关目标展开了攻击。Zebrocy与Sofacy和BlackEnergy/GreyEnergy在过去五年在基础设施、恶意软件集和目标都存在重叠，表明三者由同一个小组支持，但Zebrocy还保持自己的特有性，恶意软件集使用六种语言编写：AutoIT、Delphi、C#、PowerShell、Go、Python、Nim，存在着复制和粘帖代码的趋势。多个定制的第二阶段植入工具基于第一阶段过程枚举执行凭证收集。持续到2019年5月的最新鱼叉式网络钓鱼活动，通过部署新Golang下载器变种，分发新Zebrocy系统后门，其使用Nim编写，目标国家包括哈萨克斯坦、德国、缅甸、伊朗等多个国家，该活动可能会继续开展。新活动表明Zebrocy恶意软件集仍在积极开发中。


https://securelist.com/zebrocys- ... alware-salad/90680/

---

2 Gamaredon组织继续针对乌克兰进行攻击

Gamaredon近期针对乌克兰军事和执法部门的攻击并没有停止，Yoroi研究人员又发现了与Gamaredon集团有关的可疑电子邮件。感染链由不同阶段的密码保护SFX(自解压存档)组成，每个阶段都包含vbs或批处理脚本。在这个恶意链的最后阶段，研究人员发现了一个定制版本的UltraVNC，这是一个用于远程管理的现成工具，由组修改并配置为连接到C2。SFX的嵌套方法使其检出率很低，因此很有效。


https://blog.yoroi.company/resea ... rope-a-month-later/

---

3 伊朗组织APT34的新黑客工具Jason被曝光

名为Lab Dookhtegan的泄露者在Telegram通信软件上，在线曝光了伊朗组织APT34的又一个新黑客工具“Jason”。Lab Dookhtegan已于4月份泄露了其它六种伊朗组织APT34工具的源代码、过去被APT34入侵者的信息，以及伊朗政府黑客成员的真实身份。安全研究员表示Jason工具是一个GUI实用程序，用于使用预编译的用户名和密码组合列表来暴力破解Microsoft Exchange电子邮件服务器。该工具在2015年编制，这意味着伊朗黑客已经至少使用四年。


https://www.zdnet.com/article/ne ... leaked-on-telegram/

---

4 新0day漏洞允许黑客绕过macOS安全特性

Digita Security安全研究人员披露了一个新的0day漏洞，它存在于核心安全功能macOS Mojave，该功能旨在防止应用程序或恶意软件在未经用户明确许可的情况下访问用户的私人数据、网络摄像头或麦克风。但通过使用macOS内置的自动化特性AppleScript，或者通过使用鼠标按键，攻击者可以通过键盘控制鼠标光标，从而创建人工或“合成”点击。虽然苹果目前的防御措施是阻止所有合成点击，但研究人员未注册的macOS应用程序白名单中发现了一个0day漏洞，可以创建合成点击。


https://techcrunch.com/2019/06/0 ... w-synthetic-clicks/

---

5 西太平洋银行新支付平台PayID功能被滥用

西太平洋银行表示发现了该银行新支付平台PayID功能被滥用，从7个被窃取的西太平洋银行实时账户中，查找了大约60万个NPP PayID，大约有9.8万人成功地将自己的名字改成了一个简短的名字，并显示给了诈骗者。西太平洋银行已经采取了额外的预防措施，但不关闭系统，没有客户的银行账号因此被泄露。


https://www.computerworld.com.au ... form-payid-lookups/

---

6 AMCA网站付款页面被攻陷影响近1千万患者

美国医药托收公司(AMCA)的web支付页面被攻陷，影响了近1190万Quest Diagnostic患者的个人和财务信息。信息具体包括社会安全号码、银行账户信息、信用卡号码以及医疗信息。美国医疗收费机构(AMCA)立即做出回应，表示已关闭了web支付页面，并将其web支付门户服务迁移到第三方供应商。


https://cyware.com/news/amca-web ... s-impacted-01d3fa99

---