每日安全简讯(20190713）

1 安全厂商发布APT28组织恶意样本反编译分析

5月17日，美国网络司令部在VT上上传了APT28恶意软件样本，该样本是x-tunnel（又名XAPS），APT28使用该工具将防火墙内的受感染主机作为流量代理。X-tunnel于2013年5月首次出现，其功能包括远程命令执行、UDP隧道、TLS加密、代理支持和通过HTTP keep-alive头的持久HTTP。Cylance分享了开发Hex-Rays交互式反汇编程序（IDA）签名的方法。


https://threatvector.cylance.com ... -ida-and-apt28.html

---

2 安全厂商披露Buhtrap组织攻击活动发展过程

Buhtrap组织最初针对俄罗斯的金融机构和企业，自2015年底以来，发展其工具集，利用恶意软件在东欧和中亚进行间谍活动。2019年6月ESET研究人员首次发现Buhtrap组织使用零日漏洞CVE-2019-1132进行攻击。Buhtrap活动中使用的策略、技术和过程（TTP）在这些年中并没有发生显着变化，仍然广泛使用NSIS安装程序作为投放器。用于投放恶意有效载荷的文件通常带有合法诱饵文件，Buhtrap针对企业时，诱饵文件通常是合同或发票，目标转移到银行时，诱饵文件与银行系统法规或来自FinCERT的建议有关。针对政府的机构的活动中下载了NSIS安装程序，其作用是安装Buhtrap后门。Buhtrap组织在间谍活动中使用的工具与用于企业和金融机构的工具非常相似。而后针对政府组织的几个活动中，攻击者使用漏洞来提升权限，以便安装恶意软件。


https://www.welivesecurity.com/2 ... spionage-campaigns/

---

3 安全厂商披露针对Linux的勒索软件QNAPCrypt

Intezer检测到针对Linux操作系统的勒索软件，命名为QNAPCrypt。QNAPCrypt勒索软件与其他勒索软件类似，会加密所有文件并留下勒索信，但其勒索信不显示在屏幕上，而是作为一个txt文单独存放。受害者受到攻击后，恶意软件会在文件加密之前从命令和控制服务器（C＆C）请求钱包地址和公共RSA密钥，并且为每个受害者分配不同的比特币钱包地址以避免追踪。研究人员对ARM变种和x86变种进行了技术分析，恶意软件使用Golang语言创建，针对NAS服务器而不是Linux端点。目前此恶意软件在所有主要安全解决方案中的检测率都非常低。


https://www.intezer.com/blog-sei ... le-storage-servers/

---

4 虚假游戏作弊工具传播密码窃取木马AZORult

研究人员发现黑客利用CS GO、PUBG和Rust等热门游戏的免费作弊工具传播密码窃取木马AZORult。名为Pirate Hack的YouTube用户在视频中宣传，为CS GO，PUBG和Rust等热门游戏提供免费的aimbot和黑客工具，并提供mega.nz下载链接。下载的是包含大量文件的ZIP文件，其中包含说明指示用户禁用反病毒产品。研究人员测试了Rust hack工具，执行时会将svchost.exe文件解压缩到％Temp％文件夹，然后执行svchost.exe将AZORult DLL注入进程，进而从受感染计算机收集各种数据，包括浏览器和FTP密码、浏览器历史记录等。


https://www.bleepingcomputer.com ... rd-stealing-trojan/

---

5 黑客窃取Bitpoint交易所价值35亿日元加密货币

黑客在2019年7月11日破坏了Bitpoint交换网络，窃取了5种加密货币，包括比特币、比特币现金、Litecoin、Ripple和Ethereal，总价值35亿日元（3200万美元）。交易所指出，在被盗的35亿日元（3200万美元）中，25亿日元（2300万美元）是客户资金，其余是交易所是储备资金。发现窃取事件后，Bitpoint关闭了平台停止了存取款业务，并向执法机关通报了这一事件。


https://cyware.com/news/hackers- ... y-exchange-5bd0667f

---

6 阿灵顿县工资单系统因钓鱼攻击遭到黑客渗透

阿灵顿县在一份声明中表示其工资单系统受到黑客渗透，个别员工收到了网络钓鱼电子邮件从而导致了入侵。自从发现入侵以来，阿灵顿县已经增强了网络安全功能，以保护电子邮件和其他关键计算系统。阿灵顿县表示入侵期间没有任何数据泄露。阿灵顿县警察局目前正在调查入侵事件。


https://www.arlnow.com/2019/07/1 ... nty-payroll-system/

---