每日安全简讯(20191108)

1  攻击者利用特制的ZIP文件来绕过电子邮件网关

TrustWave研究人员发现了一项新垃圾邮件活动，通过特制ZIP文件绕过电子邮件网关以传播NanoCore远控木马。垃圾邮件以快递公司为主题，声称来自USCO物流出口运营专员，附件以“pdf.zip”为扩展名。ZIP文件大小大于未压缩的内容，实际其包含两个不同的ZIP文件结构。第一个ZIP结构作为一个诱饵order.jpg文件，它是一个正常文件。第二个ZIP结构为“pdf.exe”文件，其为NanoCore远控木马。


https://www.trustwave.com/en-us/ ... -delivers-nanocore/

---

2 安全厂商披露Emotet木马近期活动的技术细节

2019年5月，Emotet银行木马活动开始减少，在2019年9月再次开始活跃。Emotet活动似乎从未停止过并不断发展垃圾邮件活动和新的投送机制。Netscout研究人员在Emotet近期活动中，发现其新变化。Emotet与Trickbot共享混淆技术，这进一步巩固了它们的共生关系。Emotet使用一个新的单词列表来生成进程名，并跟踪已安装的模块。Emotet二进制文件上还出现了一个新的导出函数，这很不寻常，因为这些文件通常与DLL文件一致，而不是与可执行文件一致。


https://www.netscout.com/blog/asert/emotet-whats-changed

---

3 网络钓鱼活动伪装成英国司法部传播信息窃取软件

Cofense Intelligence观察到一项新网络钓鱼活动，其伪装成英国司法部通过电子邮件传播信息窃取软件Predator The Thief。网络钓鱼邮件发送给保险和零售公司的员工，表示收件人已被传唤，要求点击链接查看关于案件的更多相关细节。该链接为受信任的Google Docs，其包含一个指向OneDrive资源的重定向器链接，该链接指向带有恶意宏的Microsoft Word文件。启用恶意宏后，将通过PowerShell下载恶意软件，其为Predator Thief信息窃取程序。


https://cofense.com/youve-served ... lware-via-subpoena/

---

4 Libarchive压缩库中漏洞影响多个Linux发行版

安全研究人员在多格式存档和压缩库Libarchive中发现漏洞，可能导致任意代码执行。该压缩库主要用于在软件中复制存档文件、创建存档文件、压缩和扩展数据。libarchive已被广泛的软件包管理器、归档工具、文件浏览器和操作系统所采用。该漏洞ID为CVE-2019-18408，是use-after-free漏洞，可被利用导致拒绝服务条件，并在易受攻击的系统上执行任意代码。但攻击者需创建格式错误的存档，才能在处理过程中触发该漏洞。该漏洞影响多个Linux发行版，包括Debian、Ubuntu、Arch Linux、FreeBSD和NetBSD。目前该漏洞已在3.4.0版本中被修补。


https://www.bleepingcomputer.com ... ns-to-publish-data/

---

5 NVIDIA修复GPU驱动程序和GFE软件中多个漏洞

NVIDIA发布了安全更新，以修复Windows GPU显示驱动程序和NVIDIA GeForce Experience（GFE）软件中的12个高等和中等严重漏洞。这些漏洞包含4个高严重性漏洞和8个中等严重性漏洞，可能在Windows计算机上导致代码执行、特权提升、信息泄露和拒绝服务，攻击者必须依靠用户交互来在未修补系统上执行漏洞。


https://www.bleepingcomputer.com ... geforce-experience/

---

6 两名前推特员工代表沙特阿拉伯政府监视用户账户

两名前Twitter员工（Abouammo和Alzabarah）已被指控代表沙特阿拉伯政府监视数千个Twitter用户帐户，目的可能是揭露持不同政见者的身份。非法获取的关于Twitter用户的信息包括电子邮件地址、使用的设备、浏览器信息、用户提供的个人信息、生日以及其它可以用来知道用户位置的信息，比如与账户和电话号码相关的IP地址。据称Alzabarah已非法访问6000多个Twitter帐户，Abouammo曾充当外国代理人，并向联邦调查局（FBI）提供伪造的记录，以阻止联邦调查，还被指控从社交媒体平台上删除某些信息，揭露一些用户的身份，并应沙特政府官员的要求关闭Twitter账户。


https://thehackernews.com/2019/1 ... g-saudi-arabia.html

---