每日安全简讯(20190619)

1 研究人员发现针对中东的移动网络间谍活动

趋势科技研究人员发现了针对中东国家的移动网络间谍活动“Bouncing Golf”。恶意代码嵌入到被重新打包的合法应用程序中，托管在网站上，通过社交媒体进行推广。最终传播Android恶意软件GolfSpy，GolfSpy具有信息窃取和执行远程命令功能。研究人员通过监控其C2，目前已经观察到超过660台感染了GolfSpy的Android设备。被窃取的信息多数与军事有关。该活动与之前报道过的“Domestic Kitten”活动有关，二者具有相似的代码串的结构和盗窃的数据格式。


https://blog.trendmicro.com/tren ... ffects-middle-east/

---

2 模块化后门Plurox利用漏洞在本地网络传播

卡巴斯基研究人员发现了一个新模块化后门Plurox，它可以利用漏洞在本地网络传播，提供对受攻击网络的访问，以及在受害计算机上安装挖矿恶意软件和其它恶意软件。Plurox是用C语言编写，Mingw GCC编译。模块化后门Plurox包含挖矿恶意软件插件、UPnP插件、SMB插件。插件加载通过两个不同的端口直接连接，端口存在于Plurox主体当中，使用TCP协议与C＆C服务器通信。根据调试行的存在表示该恶意软件目前处于测试阶段。


https://securelist.com/plurox-modular-backdoor/91213/

---

3 研究人员发现被严重混淆的多阶段恶意软件

研究人员发现了一个严重混淆的恶意软件样本。分析发现该文件看似为的常见XLS文件，VBA脚本可自动打开，初始脚本通过整数转换和变量连接进行混淆。第二阶段利用PowerShell代码，通过函数数组枚举和整数转换进行混淆。第三阶段根据多个杀毒软件显示恶意软件看起来像Emotet木马。通过编码字符串、字符串连接和动态计算和字符串替代实现复杂的Javascript代码混淆。恶意软件设备攻击目标为除了罗马尼亚、乌克兰、中国、俄罗斯和白俄罗斯之外的所有国家，研究人员还无法确定攻击者的具体意图，并将此称为“无目标”攻击。


https://marcoramilli.com/2019/06 ... -untargeted-attack/

---

4 Linux和FreeBSD存在多漏洞可致DoS攻击

Netflix研究人员在Linux和FreeBSD中发现三个影响内核TCP处理子系统的漏洞，可导致拒绝服务（DoS）攻击。最严重的为SACK Panic漏洞（CVE-2019-11477），攻击者可以通过在具有较小值的TCP MSS的TCP连接上发送SACK段序列进行利用，导致触发整数溢出。该漏洞影响Linux内核2.6.29及更高版本。另外两个漏洞影响所有Linux版本，其中被称为SACK Slowness漏洞（CVE-2019-11478），允许攻击者通过发送SACK序列来分解TCP重传队列来利用，另外一个漏洞（CVE-2019-11479）允许攻击者通过发送具有低MSS值的数据包来利用。


https://www.bleepingcomputer.com ... s-found-by-netflix/

---

5 Facebook的WordPress插件存在0day漏洞

网络安全公司披露存在于Facebook官方WordPress插件中的两个0day漏洞，并发布概念验证代码（PoC）。其中一个漏洞存在“Messenger Customer Chat”中，该插件可在WordPress站点上显示一个自定义聊天窗口。另一个漏洞存在“Facebook for WooCommerce”中，该插件允许WordPress站点的用户在Facebook页面上传基于WooCommerce的商店。以上漏洞允许攻击者接管网站。


https://www.zdnet.com/article/di ... -wordpress-plugins/

---

6 研究人员发现利用网站外部脚本的广告活动

Sucuri研究人员最近发现使用手机访问网站的用户被重定向到随机网站的广告活动。黑客利用了网站管理员经常使用提供Lightbox功能的外部脚本，该脚本将立即调用另一个脚本，其包含的代码将用户重定向到随机页面，用于广告活动。目前还未检测传播到恶意软件。


https://blog.sucuri.net/2019/06/ ... ious-redirects.html

---