每日安全简讯(20190726）

1 安全厂商发布Phobos勒索软件深入分析报告

Phobos勒索软件出现在2019年初，基于Dharma勒索软件开发，通过远程桌面（RDP）连接传播。Phobos勒索软件没有部署任何UAC绕过技术，将自身安装在％APPDATA％和Startup文件夹中，添加注册表项以在系统重新启动时自启动。勒索软件能够在没有互联网连接的情况下加密文件，每个文件都使用单个密钥或初始化向量进行加密，即相同的明文生成不同的密文。加密后可能生成两种类型的赎金票据，.txt文件或.hta文件。弹出初始赎金票据之后，恶意软件仍然在后台运行，并继续加密新创建的文件。


https://blog.malwarebytes.com/th ... -phobos-ransomware/

---

2 黑客利用WeTransfer共享服务绕过电子邮件网关

Cofense发现一起网络钓鱼攻击，黑客利用名为WeTransfer的文件共享服务绕过旨在阻止带有恶意URL的垃圾邮件的防御性电子邮件网关，攻击涉及银行、电力和媒体行业。电子邮件正文通知受害者已与他们共享文件，攻击者利用受入侵的电子邮件帐户向用户发送WeTransfer托管文件的真实链接，从而绕过网关的安全检查。当用户点击邮件正文中的“获取您的文件”按钮时被重定向到WeTransfer下载页面，从页面下载.html文件时，用户将被重定向到主钓鱼页面，要求受害者输入他们的Office365凭据进行登录。


https://cofense.com/phishing-att ... ade-email-gateways/

---

3 BSI警告Sodinokibi勒索软件通过垃圾邮件传播

德国国家网络安全机构BSI发布了一项关于垃圾邮件活动的警告，邮件冒充来自BSI传播Sodinokibi勒索软件。ZIP附件包含伪装成PDF文档的Windows快捷方式，一旦执行，快捷方式将使用PowerShell命令启动远程HTA文件，HTA文件将使用Living off the Land（LotL）策略打开，该策略使用合法的mshta.exe Windows二进制文件逃避检测。最后Sodinokibi将加密受害者的文件，为每个受感染的计算机附加一个随机且唯一的扩展名。


https://www.bleepingcomputer.com ... sing-as-german-bsi/

---

4 路易斯安那州三所学校系统受勒索软件攻击

路易斯安那州Monroe、Morehouse Parish和Sabine Parish三所学校计算机系统受到勒索软件攻击，路易斯安那州州长于2019年7月24日发布了紧急声明，表示Sabine、Morehouse和City of Monroe学校系统中存在严重的网络安全漏洞，可能会危及整个路易斯安那州的其他公共和私人实体。该州聘请了路易斯安那州国民警卫队、警察局和技术服务办公室的网络安全专家解决和预防网络攻击。


https://cyware.com/news/louisian ... ee-schools-50569756

---

5 研究人员发现InterSystems数据库产品中漏洞

研究人员发现InterSystems数据库产品中存在多个漏洞，其中包括InterSystemsCaché应用程序中的高风险安全问题，该漏洞（CVE-2018 -17150）也影响了InterSystems Ensemble和Iris应用程序。Caché是一个高性能对象数据库，用于为全球政府、商业、科研和医疗保健行业开发软件应用程序，包括美国10大投资银行中的6家。攻击者可以通过创建恶意链接并诱使InterSystemsCaché用户单击它或仅访问受影响的应用程序端点来利用此漏洞，从而在客户端注入代码并执行任意操作。InterSystems已修补了该漏洞。


https://finance.yahoo.com/news/b ... high-160000515.html

---

6 加密货币贷款公司暴露客户信用卡及交易信息

加密货币贷款初创公司YouHodler由于未对数据库进行加密暴露了大量的客户信用卡和用户交易信息。该数据库包含8600万行贷款平台的每日更新记录，包含基于用户在前端网站上的交互的日志和计算机命令流，还包括用户敏感信息，例如姓名、交易金额和信用卡信息（包括卡片验证号码（CVV）和到期日期），此外还包括银行信息，如姓名、地址、银行账户和路由号码、SWIFT代码和交易金额。被通知泄露事件后，YouHodler已将数据库脱机。


https://techcrunch.com/2019/07/2 ... cards-transactions/

---