每日安全简讯(20200111)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安全厂商披露MuddyWater的Summer Mirage活动

Prevailion安全小组发现了疑似伊朗组织MuddyWater的攻击活动，并将该活动称为“Summer Mirage”，研究人员认为该活动是先前披露名为“ BlackWater”活动的延续。研究人员发现的两个恶意文档，第一份文档讨论了斯蒂芬·摩尔对美联储的任命，第二份文档讨论了开采和加工原油的公司。这两个文档都依赖于对其受害者进行社会工程以通过启用宏，执行恶意操作，感染目标工作站。一旦宏被启用，恶意代码将试图获取托管命令和控制节点上的PowerShell木马POWERSTATS 。该木马将进行凭证收集运动，并允许攻击者通过交互式命令与受感染主机进行交互。


https://blog.prevailion.com/2020/01/summer-mirage.html?m=1

---

2 TrickBot运营组织针对高价值目标开发PowerTrick后门

SentinelLabs研究人员发现TrickBot运营组织针对高价值目标开发PowerShell后门PowerTrick。PowerTrick初始阶段启动后，将发出第一命令来下载其它后门，该过程与Powershell Empire类似。PowerTrick用于执行命令并以Base64格式返回结果，系统使用基于计算机信息生成的UUID作为“botID”。然后，受害者数据被发送回控制器。PowerTrick旨在执行命令并返回结果。研究人员目前观察到PowerTrick被用于投送带有more_eggs后门的TerraLoader、TrickBot Anchor DNS等恶意软件，还观察到PowerTrick被用于直接执行Shellcode。


https://labs.sentinelone.com/top ... high-value-targets/

---

3 安全厂商披露基于Ursnif v3源代码的新变种SaiGon

FireEye研究人员发现基于Ursnif v3源代码的新变种SaiGon。SaiGon的功能不是一个成熟的银行恶意软件，而疑似是一个更通用的后门程序，可能专门用于具有针对性的网络犯罪活动。研究人员在受感染计算机上，发现SaiGon存储在注册表项Base64编码的shellcode blob中，该注册表项使用PowerShell通过计划任务启动。与其它Ursnif变种一样，SaiGon的主要组件是DLL文件。该DLL有一个单独的导出函数DllRegisterServer，它是一个未使用的空函数。当DLL通过入口点加载并初始化时，将执行恶意软件的所有相关功能。


https://www.fireeye.com/blog/thr ... us-ursnif-fork.html

---

4 Amadey僵尸网络近期攻击活动针对非俄罗斯用户

Cylance研究人员发现了Amadey僵尸网络新活动样本，新活动持续大约一个月，针对非俄罗斯用户。Amadey对域名、dll文件名、API名称、防病毒（AV）供应商名称之类的字符串进行了混淆。运行时，Amadey会寻找受害者计算机上安装的防病毒产品，然后，它将自身复制到“C:\ProgramData\44b36f0e13\”作为“vnren.exe”，在终止原始进程之前执行该文件。Amadey通过更改Startup文件夹维持持久性。Amadey会通过POST请求链接C2，通过下载并运行远程文件，以用其它恶意软件进一步感染主机。


https://threatvector.cylance.com ... ght-amadey-bot.html

---

5 国际刑警组织Goldfish Alpha行动打击非法挖矿活动

国际刑警组织Goldfish Alpha行动，通过打击在东南亚运营的非法挖矿活动，将受感染设备的数量减少78％。该行动于2019年6月启动，专家首先确定了受感染的设备，然后提醒受害者安装可锁定恶意代码的安全补丁。此次活动中，攻击者利用针对存在漏洞的MikroTik路由器，通过改变设备的配置，在用户的网络流量中注入Coinhive加密货币挖矿脚本。


https://securityaffairs.co/wordp ... -cryptojacking.html

---

6 MITRE公司发布针对工业控制系统的ATT＆CK框架

MITRE 发布了针对工业控制系统的ATT＆CK框架，介绍了攻击者在攻击全球工业控制系统（ICS）时所使用的策略和技术。ICS是国家最关键的基础设施的一部分，包括能源传输和分配工厂，炼油厂，废水处理设施，运输系统等。MITRE公司希望该框架可以帮助减轻影响财产或人类生活的灾难性故障。该框架提到了ICS环境中对手的行为，突出了系统操作员通常使用的专用应用程序和协议的独特方面，并且对手可以利用这些方面，向希望为安全从业人员建立事件报告标准语言的防御者推荐该知识库，可以帮助在人员制定事件响应时，确定防御措施的优先级以及发现差距。此外，对报告威胁情报、分析师培训和发展，以及在演习中模仿对手也变得更加容易。


https://cyware.com/news/what-to- ... ol-systems-18720c69

---