每日安全简讯(20190727）

1 TxHollower加载器更新隐藏技术投递多种载荷

Ensilo跟踪GandCrab勒索软件时发现使用两种技术的混合加载器变体，命名为TxHollower，除GandCrab，该加载器还提供了十几种其他有效载荷，如FormBook、LokiBot、SmokeLoader、AZORult、NetWire、njRat和Pony stealer。除了使用ntdll.dll的节重新映射来绕过用户模式挂钩之外，加载器还提供了一种持久性机制，并且它的功能是可配置的。根据不同的功能，版本之间的配置略有不同，但大多数配置保持不变，包括有效载荷的解密密钥、有效载荷的大小，是否使加载器持久化以及用于Process Hollowing的可执行文件的名称和id。


https://blog.ensilo.com/txhollower-process-doppelganging

---

2 Monokle RAT通过安装可信证书进行间谍活动

Lookout研究人员发现Monokle RAT通过安装可信证书，获得对设备的root访问权限，对目标进行网络间谍活动。Monokle自2016年以来一直活跃，针对亚美尼亚、阿塞拜疆的、叙利亚和格鲁吉亚用户。其功能包括键盘记录、拍摄照片和视频以及检索Web浏览器、社交媒体服务和通信应用程序的历史记录。虽然Monokle目前仅针对Android设备，但研究人员表示，他们已经发现了几个针对iOS设备的恶意软件样本。


https://cyware.com/news/monokle- ... ndividuals-155e6949

---

3 纽黑文公立学校遭勒索软件攻击导致官网瘫痪

纽黑文公立学校遭遇勒索软件攻击，导致学校的官方网站瘫痪。校方表示这是一次黑客攻击，而并非由于学校安装了软件。该区通过异地服务器上的备份成功还原了所有加密文件，并恢复了所有关键功能。该区的首席运营官证实，该区未向攻击者支付赎金。


https://cyware.com/news/new-have ... are-attack-7079b9a7

---

4 南非电力公司City Power受到新勒索软件攻击

南非电力公司City Power所有系统被未知的勒索软件感染并加密，导致部分用户无法通过预付费电力自动售货系统购买电力，并且影响了该公司记录呼叫的响应时间。City Power已通知用户系统面临的问题，并表示会尽快解决。目前受网络攻击影响的大多数IT应用程序和网络都已恢复，没有用户信息受到损害。


https://www.bleepingcomputer.com ... y-s-entire-network/

---

5 全球超过15％电信公司设备感染Triada远控木马

谷歌五月承认一些安卓设备被预装了远程访问木马。对最近在众多Android设备上预装的复杂远程访问木马Triada的新研究表明，全球超过15％的电信公司设备已经感染该木马。研究人员还遥测了Prize RAT和Ztorg，发现三种恶意软件都会影响电信领域的网络，远远超过任何其他行业。此外，PrizeRAT和Ztorg还影响其他行业，例如，超过5％的教育网络包含感染了PrizeRAT的Android设备，Ztorg影响的公用事业、政府和零售行业设备比例分别为1.27％、1.4％和0.79％。


https://www.darkreading.com/mobi ... orks/d/d-id/1335337

---

6 股票交易公司Robinhood以明文存储用户密码

Robinhood是一家位于加利福尼亚州的股票交易公司，提供免佣金交易和加密货币相关服务，该公司承认以明文存储了部分用户的密码。Robinhood已向受影响的用户发送邮件通报了该事件，并表示该问题已得到解决，没有发现任何未经授权访问帐户的情况。


https://cyware.com/news/some-use ... -robinhood-cfe6ed09

---