每日安全简讯(20190830）

1 安全团队发布SectorJ04组织上半年活动分析报告

NSHC RedAlert Labs的ThreatRecon团队发布SectorJ04（又名TA505）组织2019年上半年活动分析报告。SectorJ04为俄罗斯网络犯罪组织，大约2014年开始运营，并利用针对欧洲、北美和西非国家和工业部门的恶意软件进行黑客活动以获取经济利益。2019年上半年，该组织活动明显增多，主要表现为以下三点：第一增加针对东亚和东南亚的黑客活动，包括韩国、中国、中国台湾和菲律宾等；第二垃圾邮件格式和黑客方法的变化，利用各种语言编写的垃圾邮件，包括英语、阿拉伯语、韩语和意大利语，使用多种内容主题的电子邮件，包括汇款卡、发票和税务发票。开始使用HTML文件作为附件或者文本中包含链接下载恶意文档，除了ServHelper和FlawedAmmy之外，还使用AdroMut和FlowerPippi后门；第三从特定组织和行业到随机目标，使其能够扩大活动的目标范围以获取经济利益。


https://threatrecon.nshc.net/201 ... d-activity-in-2019/

---

2 安全厂商发布APT28组织DLL后门的技术分析

Cylance研究人员发现攻击组织APT28的植入工具样本，分析发现它是一个多线程DLL后门，能够完全访问和控制目标主机。该后门使用c++编写，并与OpenSSL和Poco c++框架静态链接。由于文件打包为DLL，目的是将其注入长期运行的进程，该进程被授予互联网访问权限（例如NetSvc服务组）或具有本地防火墙权限的进程。该后门是非模块性的，但具有文件下载、上载、远程命令执行和交互式shell访问的基本功能，根据定义的睡眠或活动时间表连接到C2进行通信。C2服务器使用域生成算法（DGA）生成，与其通信协议使用RSA加密，Base64编码的JSON通过端口443的HTTPS或使用端口80在HTTP上进行交换。


https://threatvector.cylance.com ... backdoor-blitz.html

---

3 威胁组织利用Revenge和Orcus RAT攻击政府实体

思科Talos最近发现了一个威胁组织，利用Revenge RAT和Orcus RAT持续针对政府实体、金融服务组织、信息技术服务提供商和咨询公司进行攻击。钓鱼邮件伪装成与目标实体相关的对象和内容，其包含超链接，攻击者利用SendGrid电子邮件发送服务将受害者重定向到攻击者控制的恶意软件分发服务器。该服务器托管包含感染系统的恶意PE32的ZIP存档。被执行后受SmartAssembly .NET保护的加载器将提取和解密Orcus RAT，在内存中执行，通过添加到启动目录实现持久性。后续活动中，邮件附件直接带有包含恶意批处理文件的ZIP存档，批处理文件中的.bat下载器使用混淆，用运行时解析的变量替换所有字符，另一个混淆脚本使用垃圾和长串代码，将恶意字符串写入注册表，实际为RevengeRAT。C2基础设施利用动态域名系统（DDNS）并指向Portmap服务，来混淆基础设施。


https://blog.talosintelligence.c ... rat-orcus.html#more

---

4 MageCart破坏超80个电子商务网站以窃取信用卡信息

Aite Group和Arxan Technologies的安全专家发现MageCart破坏了80多个电子商务网站，窃取在线购物者的信用卡信息。被入侵网站包括在美国、加拿大、欧洲、拉丁美洲和亚洲经营赛车、运动和高端时尚领域的知名品牌。这些网站多数运行过时的Magento CMS版本，容易受到未经身份验证的上传和远程代码执行漏洞的攻击。新披露的活动并不属于一个单独的MageCart。研究人员使用一个源代码搜索引擎，在网上搜索到了混淆的JavaScript，曾在MageCart虚拟支付卡窃取程序中出现过。


https://thehackernews.com/2019/0 ... ng-credit-card.html

---

5 TrickBot僵尸网络变种针对美移动用户窃取PIN码

Secureworks研究人员监控到TrickBot僵尸网路变种，该变种新增功能，针对美国移动运营商Verizon Wireless、T-Mobile、Sprint用户窃取PIN码。当用户到以上运营商之中的网站时，合法的服务器响应被TrickBot拦截，并通过命令和控制(C2)服务器代理。C2服务器将在用户的web浏览器中呈现HTML和JavaScript页面，要求输入用户名、密码和PIN。这允许攻击者访问受害者的语音和文本通信。研究人员表示新增功能表明幕后攻击组织有兴趣进行端口移出或SIM交换攻击。


https://www.secureworks.com/blog ... get-us-mobile-users

---

6 法国警方从85万台受感染机器删除RETADUP蠕虫

安全厂商Avast与法国国家宪兵的网络犯罪打击中心(C3N)合作远程对全球超过85万台受感染计算机删除RETADUP蠕虫。Retadup是一种影响整个拉丁美洲Windows计算机的恶意蠕虫。使用AutoIt或AutoHotkey编写，包含干净的脚本语言解释器和恶意脚本本身。其目标是在受害者的计算机上实现持久性，并在受感染的计算机上安装其它恶意软件，包括XMRig挖矿恶意软件、Stop勒索软件和Arkei密码窃取程序等。Avast研究人员在其C2服务发现了设计缺陷，可能被利用来从受害者的计算机中删除恶意软件，而无需执行任何额外的代码。RETADUP的C2服务器主要位于法国，法国警方对其进行了处理，并联系FBI对部分位于美国的服务器进行处理，最终成功破解了RETADUP蠕虫。


https://decoded.avast.io/janvojt ... dreds-of-thousands/

---