每日安全简讯(20190927)

1 安天发布Magecart组织近期窃密活动分析报告

2019年8月，安天CERT监测到了多起利用KPOT木马进行窃密的事件。安天CERT判定这些窃密事件是由Magecart第五小组发起的，攻击者利用KPOT窃取用户加密货币钱包信息、应用账户信息以及浏览器cookies等多种信息。攻击者主要利用了垃圾邮件以及RIG和Fallout漏洞利用工具包来传播木马。Magecart是一个以获取经济利益为主要目的的窃取支付信息的组织集合，根据公开情报描述，Magecart至少有12个不同的小组，这些小组具有不同的运作方式、技术配置，成员水平也参差不齐。Magecart的第五小组最早出现于2016年，主要利用供应链进行攻击。攻击者将窃密脚本注入到第三方服务提供商的组件库中，在线零售商在使用第三方服务提供商的服务时，可能会加载攻击者注入的窃密脚本。当用户进行在线支付时，窃密脚本运行并尝试窃取用户的支付信息。在本次发现的窃密事件中，Magecart第五小组的攻击行为和目的都发生了改变，舍弃了以往使用的专用窃密脚本而改用KPOT木马，窃取了更多的用户信息。


https://mp.weixin.qq.com/s/zgBxZUaY48mEPKTSqvfr8A

---

2 Gorgon APT组织发起鱼叉式网络钓鱼攻击活动

尽管从2018年2月到现在，Gorgon APT组织的活动时断时续，但该组织现在回归，发起了一场新的鱼叉式网络钓鱼活动。攻击以一封电子邮件开头，诱饵是附加的Excel文档。一旦目标点击它，恶意文件就会传递有效载荷。XLS文件包含宏/VBA代码，该代码在打开文档后启用。就像之前的攻击一样，Gorgon APT随后连接到Pastebin并从那里下载并运行Javascript/VBA代码。接着创建一个计划任务，以确保不断下载有效载荷。最后的有效载荷是一个数据窃取器，它可以与多个域通信。


https://heimdalsecurity.com/blog ... apt-spear-phishing/

---

3 大规模DDoS攻击导致南非互联网服务提供商瘫痪

9月21日和22日，一名神秘的攻击者使用一种名为地毯式轰炸的DDoS技术攻击了南非一家互联网服务提供商酷思。在DDoS期间，攻击者成功地将Cool Ideas与其他互联网服务提供商的外部连接断开。由于这次攻击，Cool Ideas的客户在试图访问国际服务或网站的连接上都经历了“间歇性的连接中断和性能下降”。攻击者一直在关注互联网服务提供商如何应对攻击，并做出了相应反应。一旦Cool Ideas设法缓解了第一次DDoS攻击，并宣布它正在缓慢恢复服务，另一次DDoS攻击就在几分钟内袭来，再次摧毁了互联网服务提供商的系统。


https://www.zdnet.com/article/ca ... -for-an-entire-day/

---

4 WordPress的Rich Reviews插件中存在零日漏洞

Wordfence威胁情报团队正在跟踪针对WordPress的Rich Reviews插件中未修补漏洞的一系列攻击。估计运行该插件的16000个站点容易受到未经身份验证的插件选项更新的攻击，这些更新可用于交付存储的跨站脚本（XSS）有效载荷。攻击者目前正在滥用此漏洞利用链，以将恶意代码注入目标网站。恶意广告代码会创建重定向和弹出广告。插件的开发人员已意识到此漏洞，但当前没有可用的补丁程序。


https://www.wordfence.com/blog/2 ... loited-in-the-wild/

---

5 iOS13和iPadOS存在漏洞导致外接键盘拥有完全访问权限

即将进行的软件更新将解决影响第三方键盘应用程序的问题。仅当在iPhone，iPad或iPod touch上安装了第三方键盘时，此问题才适用。iOS中的第三方键盘可以完全独立运行，而无需访问外部服务，或者可以请求“完全访问”以通过网络访问来提供其他功能。Apple在iOS 13和iPadOS中发现了一个漏洞，即使您未批准此权限，该漏洞也可能导致外接键盘拥有完全访问权限。


https://support.apple.com/en-us/HT210613

---

6 在线约会应用Heyyo泄露近72000名用户的信息

研究人员发现在线约会应用Heyyo的服务器暴露在互联网上而没有密码。这个暴露的服务器（一个Elasticsearch实例）公开了将近72000个用户的个人详细信息，包括图像、位置数据、电话号码、约会偏好等，这些数据被认为是该应用程序的整个用户群。


https://www.zdnet.com/article/he ... location-data-more/

---