每日安全简讯(20200321)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布多起攻击工业企业的勒索软件Ryuk分析

2020年1月至今，工业企业的生产网络或办公网络遭受数十起勒索软件攻击，其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业，加密企业关键数据信息，导致企业停工、停产，造成重大的经济损失。因此，安天工控安全组联合安天CERT针对Ryuk勒索软件进行深度分析。Ryuk勒索软件最早于2018年8月被首次发现，其前身是Hermes勒索软件家族，它是由黑客团伙GRIM SPIDER幕后操作运营，GRIM SPIDER是一个网络犯罪集团，至今一直活跃。近期，数个大型工控企业包括钢铁、采矿、工业建筑等行业受到Ryuk勒索软件攻击，导致企业部分服务器瘫痪、系统下线等严重后果。安天近两年的监测分析中发现，Ryuk的传播和TrickBot僵尸网络有着密切的关系，TrickBot是一种恶意僵尸网络程序，一旦感染了系统，就会向攻击者创建一个反向shell，用于下载其他恶意代码。该勒索软件典型传播方式为通过垃圾邮件传播Emotet银行木马，Emotet木马下载TrickBot僵尸网络，TrickBot僵尸网络开启反向shell，从而通过shell来投放Ryuk勒索软件。


https://www.antiy.com/response/20200320.html

---

2 安全厂商揭露APT28在过去一年的网络间谍活动

趋势科技揭露APT28（又名Pawn Storm、Strontium、Fancy Bear）在过去一年通过扫描、凭据钓鱼等进行的网络间谍活动。自2019年5月以来，APT28一直在利用受感染的电子邮件地址来发送凭据网络钓鱼邮件，大部分被入侵的系统来自中东的国防公司，其它目标包括运输、公用事业和政府部门的组织。APT28定期探测世界各地的许多电子邮件和微软Exchange Autodiscover服务器，寻找易受攻击的系统，试图暴力破解获取凭据、窃取电子邮件数据并发送垃圾邮件。研究人员通过对APT28域名的所有DNS请求进行长达两年多的监控，监控和检测到从2017年到2019年该组织在其服务器上发起的凭据网络钓鱼活动，其中包括针对美国、俄罗斯和伊朗的网络邮件提供商的攻击活动。


https://www.trendmicro.com/vinfo ... l-phishing-and-more

---

3 TA505伪装成求职者身份针对德国公司发送木马邮件

Prevailion研究人员发现了TA505组织的新攻击活动，其伪装成求职者身份针对德国公司发送电子邮件以投送木马。攻击者向德语企业发送带有木马化附件的电子邮件，收件人打开.iso附件后，嵌入的.lnk将启动，并运行PowerShell脚本。该脚本将连接攻击者控制IP地址，下载rar.exe副本和dmnn.rar，rar.exe用于解压缩dmnn.rar，其包含一个用于显示的.jpeg图像文件、一个批处理文件和一个可执行文件。PowerShell将运行批处理文件，首先将活动控制台代码更改为拉丁语，并为每台机器生成唯一标识符。然后尝试收集保存的凭据、Cookie（可执行文件获取）和信用卡，压缩发送到C2。最后，创建与唯一标识符同名的计划任务，并删除从主机上下载、创建和修改的所有文件。研究人员还发现了一个类似的rar文件，其中包含勒索软件组件，并利用GPG工具。通过确定TA505该活动的C2，研究人员进一步发现托管的其它可执行文件。分析发现，该示例利用一个商业远程管理工具Netsupport，其托管在用户的谷歌驱动器帐户上。


https://blog.prevailion.com/2020 ... nal-curriculum.html

---

4 伪装来自世卫组织的电子邮件分发HawkEye变种

IBM X-Force于3月19日发现伪装成来自世界卫生组织（WHO）的电子邮件分发HawkEye恶意软件变种。电子邮件声称来自世卫组织总干事特德罗斯·阿德诺姆·格布瑞索斯博士，内容关于新冠病毒。打开邮件附件后，存档中有一个可执行文件，其为.NET加载程序，使用ConfuserEx和Cassandra保护。一旦执行，将搜索并执行另一个.NET可执行文件文件，同时加载一个位图图像。可执行文件尝试读取位图图像并从中提取编码的汇编代码。解码的有效载荷是另一个.NET可执行文件，通过更改注册表项来关闭Windows Defender，还运行PowerShell命令获取Windows Defender扫描和更新的首选项，已禁止其选项。在检查虚拟机和沙箱后，最终将HawkEye通过Process Hollowing将注入MSBuild.exe、vbc.exe和RegSvcs.exe其中之一。


https://exchange.xforce.ibmcloud ... 94a8668731932ab5826

---

5 Drupal通过安全更新CKEditor修复两个XSS漏洞

Drupal开发团队已经发布了8.8.x和8.7.x版本的安全更新，安全更新修复了两个影响CKEditor库的XSS漏洞。这两个漏洞被评为中度严重程度，第一个XSS漏洞会影响HTML数据处理器，攻击者可以通过诱骗用户以WYSIWYG模式或源代码模式，将恶意HTML代码粘贴到编辑器中来加以利用；另一个XSS漏洞影响CKEditor 4的Standard和Full预设中包含的第三方插件WebSpellChecker Dialog，攻击者利用该漏洞通过诱骗用户将CKEditor切换到源模式、粘贴恶意代码、切换回WYSIWYG模式以及预览WebSpellChecker对话框插件文件可用的页面上的内容。


https://securityaffairs.co/wordp ... flaws-ckeditor.html

---

6 加拿大网络服务提供商Rogers通信泄露客户信息

加拿大网络服务提供商罗杰斯通信（Rogers Communications）已开始通知客户由于不安全的数据库导致的数据泄露事件，该事件暴露了客户个人信息。该公司称，2月26日得知一个外部服务提供商无意间在线提供了可访问其管理的数据库信息，其包括该公司的客户信息，具体包括地址、帐号、电子邮件地址、电话号码，但不包含信用卡，银行或密码信息。该公司已立即删除了该数据库，并通知受影响客户。


https://www.bleepingcomputer.com ... unsecured-database/

---