每日安全简讯(20190629）

1 安天发布勒索软件Sodinokibi运营组织的关联分析

2019年5月，安天CERT监测到了多起利用钓鱼邮件传播Sodinokibi勒索软件的事件。安天CERT分析人员通过代码、C2、邮件、漏洞利用等关联分析认为该勒索软件团伙是一个不断套用、利用其他现有恶意工具作为攻击载体，传播勒索软件、挖矿木马、窃密程序，并在全球范围内实施普遍性、非针对性勒索、挖矿、窃密行为的具有一定规模的黑产组织。该组织和GandCrab组织有着千丝万缕的关系，分析人员猜测Sodinokibi和GandCrab运营成员有重合部分，在GandCrab组织宣布停止运营之后，部分GandCrab成员不愿收手，继续运营新修改的勒索软件Sodinokibi。经验证，安天智甲终端防御系统（英文简称IEP）可实现对Sodinokibi的有效防御。


https://www.antiy.com/response/20190628.html

---

2 “五眼联盟”在俄罗斯搜索引擎Yandex植入Regin

路透社报道，西方情报机构“五眼联盟”在2018年10月和11月期间，曾在俄罗斯的搜索引擎Yandex植入恶意软件Regin，来监控用户账户活动。 Regin恶意软件在2014年爱德华·斯诺登披露美国国家安全局（NSA）黑客工具时被曝光，被认定为由美国、英国、澳大利亚、新西兰和加拿大组成的“五眼联盟”使用。知情人士表示黑客攻击的目的是进行间谍活动，而不是破坏或窃取知识产权。黑客秘密地保持了至少几周对Yandex的访问而没有被发现，并且似乎寻找可以解释Yandex如何验证用户帐户的技术信息，以帮助间谍机构冒充Yandex用户并访问其私人消息。Yandex发言人已确认了该攻击事件，但没有透露任何细节。


https://www.reuters.com/article/ ... usive-idUSKCN1TS2SX

---

3 研究人员披露漏洞利用工具包Spelevo的活动细节

思科Talos发布了新漏洞利用工具包Spelevo的活动细节。攻击者在被入侵的B2B网站中，植入恶意脚本，利用Adobe Flash 0day漏洞CVE-2018-15982和 IE VBScript引擎中漏洞CVE-2018-8174，投送有效载荷。此时用户将被重定向到谷歌，用户首先将看到一个打开的选项卡，该选项卡加载门，然后是漏洞利用的登录页面，最后到谷歌，这可能会导致用户忽略已经被攻击的事实，并认为正在打开一个正常的web页面。


https://blog.talosintelligence.c ... ploit-kit.html#more

---

4 ShadowGate活动使用漏洞利用工具包攻击全球

趋势科技研究人员在6月发现ShadowGate活动利用广告服务进行攻击。此次攻击活动针对全球用户，用户访问嵌入恶意广告的网站，其来自受感染的广告服务，将被重定向到Greenflash Sundown漏洞利用工具包，并感染门罗币挖矿恶意软件。研究人员还发现新版本的Greenflash Sundown漏洞利用工具包，其使用集成公钥加密算法进行自我保护，还具有更新的PowerShell加载程序。


https://blog.trendmicro.com/tren ... undown-exploit-kit/

---

5 Fake jquery恶意软件针对移动用户进行广告活动

Malwarebytes研究人员近日发现名为“fake jquery”的恶意软件活动使用了新域名，成千上万个受影响的网站被注入了对一个名为jquery.js的外部JavaScript的引用。恶意JavaScript是空白的，其实际进行一个恶意重定向，欺骗移动用户安装恶意应用程序，最终通过定期在受害者手机上弹出的全屏广告以获利。


https://blog.malwarebytes.com/th ... d-ad-fraud-schemes/

---

6 研究人员发现信息窃取程序banload的攻击活动

研究人员发现了一个钓鱼邮件，其附带链接可从远程下载tax.zip文件，zip文件包含正版Google更新程序和一个bat文件，该文件从远程下载powershell脚本，然后下载包含真正的自动工具文件和恶意文件的zip文件。此时将关闭用户计算机，重启后将释放另一个powershell脚本，其为信息窃取程序banload，并将窃取数据上传至远程服务器。


https://myonlinesecurity.co.uk/banload-and-stealer/

---