每日安全简讯(20190623)

1 安全厂商发现Lazarus组织Movie Coin活动

ESTsecurity发现了APT组织Lazarus针对韩国新攻击活动，因初始交互使用内容为加密货币和投资项目的恶意HWP文档，因此研究人员将此次活动称为“Operation Movie Coin”。HWP文档包含使用XOR编码的PostScript代码，解密后为第二批PostScript代码和shellcode，shellcode包含隐秘的C2地址。“movie.png”为伪装成图片文件的恶意32位和54位的DLL文件，都尝试与同一C2通信。恶意代码托管到基于WordPress的网站上，研究人员还发现了该组织使用的Webshell代码。


https://blog.alyac.co.kr/2377

---

2 TA505使用FlawedAmmyy RAT攻击韩国

ESTsecurity发现TA505组织针对韩国公司分发伪装成汇款的网络钓鱼邮件，邮件与会计事务相关，带有包含恶意宏的excel或word文档中，文档的UserForm中被插入C2地址，最终下载FlawedAmmyy RAT。


https://blog.alyac.co.kr/2374

---

3 安全厂商发现伊朗黑客组织试图攻击美国组织

网络安全公司Crowdstrike、Dragos和FireEye表示近日发现伊朗黑客组织攻击美国组织，目的可能为收集情报或为更具破坏性的网络攻击奠定基础。Crowdstrike和Dragos研究人员发现APT33（又名Magnallium、Refined Kitten）向美国多组织发送具有针对性的网络钓鱼电子邮件，其中Dragos将美国能源部和美国国家实验室列为6个目标组织之一。FireEye表示发现伊朗黑客组织针对美国和欧洲的政府机构和私营企业发起了广泛的网络钓鱼活动。目前这些公司没有任何被成功入侵的证据。


https://www.wired.com/story/iran-hackers-us-phishing-tensions/

---

4 Linux挖矿工具LoudMiner通过VST软件传播

ESET研究人员发现Linux挖矿工具LoudMiner，通过捆绑Windows和macOS的盗版VST（虚拟工作室技术）软件进行传播。LoudMiner基于XMRig (门罗币)并使用一个挖矿池。攻击者目标是与音频制作有关，因此安装的目标机器具有良好的处理能力，以至于高CPU消耗不会因其用户注意，以隐藏恶意活动。利用该类型应用复杂且文件大的特点，攻击者将LoudMiner伪装成VM镜像。目前研究人员已在一个基于WordPress的网站上，发现提供137个与VST相关的应用程序，其中42个用于Windows，95个用于macOS。


https://www.welivesecurity.com/2 ... acked-vst-software/

---

5 黑客利用MSP及远程管理工具分发勒索软件

Huntress Lab研究人员发现黑客攻击了三个托管服务提供商（MSP）并利用远程管理工具在其客户系统上部署Sodinokibi勒索软件。黑客通过暴露的RDP端点入侵MSP，进行权限升级，并卸载了ESET和Webroot等防病毒产品。然后，黑客搜索了MSP用于管理其客户的远程工作站的远程管理工具，包括Webroot SecureAnywhere和Kaseya VSA，在客户的系统上执行Powershell脚本，最终下载并安装Sodinokibi勒索软件。事件发生后，Webroot强制要求为帐户启用双因素身份验证（2FA），以防止黑客使用任何其它可能被劫持的帐户来部署勒索软件。


https://cyware.com/news/hackers- ... s-networks-1927047c

---

6 VLC媒体播放器中高危漏洞允许黑客远控主机

VLC媒体播放器存在两个高风险的安全漏洞，可导致任意代码执行攻击。黑客可通过用户播放不可信的、随机下载的视频文件，来远程完全控制计算机系统。第一个漏洞为CVE-2019-12874，位于VideoLAN VLC播放器的“zlib_decompress_extra”功能中，并在Matroska demuxer中解析格式错误的MKV文件时被触发。第二个漏洞为CVE-2019-5439，是一个存在于“ReadFrame”功能中的读取缓冲区溢出问题，可以使用格式错误的AVI视频文件触发。相关用户需要将该软件更新为VLC 3.0.7或更高版本，进行补丁更新。


https://thehackernews.com/2019/06/vlc-media-player-hacking.html

---