每日安全简讯(20190721）

1 门罗币挖矿软件使用XHide工具隐藏恶意活动

趋势科技通过蜜罐捕获到通过扫描开放端口和暴力强制弱凭证，安装门罗币挖矿软件和基于Perl的IRC后门的恶意活动。并使用XHide Process Faker隐藏挖矿进程，XHide Process Faker是一个存在17年的开源工具，用于伪造进程名称。攻击者向易受攻击的机器发出命令，受感染机器会下载并安装后门和挖矿软件。后门名为Shellbot，能够扫描开放端口、下载文件、执行UDP泛洪，以及远程执行shell命令。自3月以来，趋势科技遥测技术检测到这种恶意软件零星出现。


https://blog.trendmicro.com/tren ... -17-year-old-xhide/

---

2 使用Magecart窃取软件的组织在Luhansk运营

Malwarebytes研究人员对利用Magecart窃取软件的攻击进行了分析，确定了在卢汉斯克托管的基础设施。Luhansk是未被承认的卢汉斯克人民共和国（LPR）的首都，也是被称为顿巴斯（Donbass）的地区的一部分，它在2014年革命之后宣布从乌克兰独立，而顿巴斯地区一直是一场激烈而持久的战争的战场，因而在此攻击者可以不受执法部门或安全部门的管制进行攻击活动。攻击者将窃取脚本注入到受感染的Magento网站，研究人员发现了数百个电子商务网站的用户名和密码，确定了活动范围以及攻击中使用的PHP后门。除了支付卡详细信息外，攻击者还窃取了用户姓名、地址、电子邮件和电话号码等信息。


https://blog.malwarebytes.com/cy ... on-from-a-war-zone/

---

3 iNSYNQ云托管服务提供商受到勒索软件攻击

云计算提供商iNSYNQ在2019年7月16日遭遇勒索软件攻击，导致该公司关闭其部分服务器以控制恶意软件。iNSYNQ为客户提供基于云的虚拟桌面，托管QuickBooks、Sage、Act和Office等业务应用程序。客户的数据备份存储在单独的服务器上，但服务器在受网络攻击影响的网络上。iNSYNQ表示已经请网络安全专家帮助尽快恢复受影响的客户数据和所有客户的虚拟桌面的访问权限。


https://www.bleepingcomputer.com ... -ransomware-attack/

---

4 黑客利用ERP应用漏洞入侵62所美国大学系统

根据美国教育部在本周发出的安全警报，黑客通过利用企业资源规划（ERP）网络应用程序中的漏洞破坏了62所大学的系统。漏洞存在于Ellucian Banner Web Tailor中，这是Ellucian Banner ERP的一个模块，可让大学自定义其面向前方的Web应用程序。该漏洞还会影响用于管理用户帐户的Ellucian Banner企业身份服务，Ellucian在5月修复了漏洞。入侵到系统后，攻击者在24小时内创建了大约600个学生账户，并利用僵尸主机提交虚假入院申请，并通过入院申请网站获取机构电子邮件地址。


https://www.zdnet.com/article/ha ... -erp-vulnerability/

---

5 安全厂商披露Palo Alto VPN中存在严重漏洞

Palo Alto安全设备中VPN/SSL中存在一个重要漏洞CVE-2019-1579，问题源于“GlobalProtect”VPN / SSL管理模块中输入管理缺失，未经身份验证的远程攻击者可以利用此漏洞在设备内部执行任意代码。漏洞影响PAN-OS 7.1.18及更早版本、PAN-OS 8.0.11及更早版本和PAN-OS 8.1.2及更早版本，PAN-OS 9.0不受影响。


https://blog.yoroi.company/warni ... a-in-vpn-palo-alto/

---

6 Drupal发布新版本修补严重的访问绕过漏洞

Drupal 8.7.4版本存在一个严重漏洞CVE-2019-6342，可被攻击者利用来控制Drupal 8网站，漏洞是一个访问绕过漏洞，会在启用实验性Workspaces模块时触发，仅影响Drupal 8.7.4版本。Drupal开发人员敦促用户将他们的安装更新到已经发布最新版本8.7.5，修补了漏洞，建议用户尽快更新。


https://securityaffairs.co/wordp ... 2-drupal-8-7-4.html

---