每日安全简讯(20200507)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员对近期披露的Nazar组织进行深入分析

安全研究员近期披露了一个此前被错误识别且未知的组织“Nazar”，这是影子经纪人最后一次泄露信息的一部分，CheckPoint研究人员对该组织进行了深入分析。Nazar活动被认为是在2008年左右开始，最新的样本是在2012年创建，这意味着该组织至少活跃了四年。在Nazar的流程中执行的初始二进制文件是gpUpdates.exe。它是由名为“ Zip 2 Secure EXE ” 的程序创建的自解压存档（SFX）。在执行时，gpUpdates将三个文件Data.bin、info和Distribute.exe写入到硬盘。然后，gpUpdates.exe将开始Distribute.exe作为安装组件运行。Distribute.exe将读取Data.bin和info，Data.bin文件是一个二进制Blob，其中包含按顺序连接的多个PE文件。info文件是一个非常小的文件，它包含一个简单的结构，其长度与Data.bin中的PE文件相同。Distribute.exe将按照 info中所示的文件长度顺序逐个读取Data.bin。文件放到磁盘后，Distribute.exe将使用regsvr32将3个DLL文件注册到注册表。它使用CreateServiceA将svchost.exe作为一个名为“EYService”的服务添加，然后启动服务并退出。该服务是流程中的核心组件，负责处理攻击者发送的命令。在通讯方面，执行服务时，它首先设置包嗅探，其通过使用包嗅探SDK实现。主线程获取一个向外的网络适配器，并使用BPF来确保仅将UDP数据包转发到处理程序。每当UDP数据包到达时，无论是否存在响应，都会记录其源IP以用于下一个响应。然后，将检查数据包的目标端口，如果它是1234，则UDP数据将转发到命令分派器。


https://research.checkpoint.com/2020/nazar-spirits-of-the-past/

---

2 黑客对超90万个WordPress网站发起大规模攻击

黑客已经对超90万个WordPress网站发起了大规模攻击，试图将访问者重定向到恶意网站或在管理员登录后植入后门。该黑客在过去的一个月中，至少使用了2.4万个IP地址向90万多个站点发送恶意请求。黑客主要利用插件中的跨站点脚本（XSS）漏洞（这些漏洞都已被修复，将访问者重定向到恶意广告是目标结果之一。如果JavaScript是由登录的管理员的浏览器执行的，则代码将尝试在主题的头文件中注入一个PHP后门和另一个JavaScript。然后，后门获取另一个有效载荷，有效载荷可能是Webshell，并将其存储在主题的标头中，以尝试执行该有效载荷。


https://www.bleepingcomputer.com ... ss-sites-in-a-week/

---

3 钓鱼邮件伪造英国电信提供商EE以欺诈企业高管

Cofense网络钓鱼防御中心发现了一个鱼叉网络钓鱼活动，旨在通过伪造发件人来自英国知名的电信和互联网服务提供商EE来欺诈企业高管的支付款细节。攻击者向几位高管发送了针对性的电子邮件，其中包括一家领先的金融公司的高管，邮件来自一个购买的顶级域名，标题是“查看账单-错误”，并插入的恶意URL以供用户查看。第二个超链接指出“查看帐单以确保您的帐户详细信息正确”，以诱使收件人单击网络钓鱼链接。URL中使用受信任的HTTPS协议以取得受害者信任。第一个钓鱼页面要求输入用户凭据，跳转的第二个钓鱼页面将要求用户数据付款细节信息。然后，将用户自动重定向到合法的EE网站，并显示会话超时或密码输入错误以取得受害者信任。


https://cofense.com/targeted-att ... l-to-deceive-users/

---

4 安全团队发现Accusoft ImageGear中代码执行漏洞

思科Talos最近在Accusoft ImageGear中发现四个代码执行漏洞。ImageGear库是一个文档图像开发工具包，用于协助用户进行图像转换、创建、编辑等。ImageGear的某些功能存在漏洞，允许攻击者在受害者机器上执行代码。这四个漏洞分别为Accusoft ImageGear 19.5.0的igcore19d.dll库的store_data_buffer函数中可利用的越界写入漏洞（CVE-2020-6075）、Accusoft ImageGear 19.5.0库的igcore19d.dll ICO icoread解析器中一个可利用的越界写入漏洞（CVE-2020-6076）、Accusoft ImageGear 19.6.0的igcore19d.dll库的ico_read函数中可利用的越界写入漏洞（CVE-2020-6082）、Accusoft ImageGear 19.4、19.5和19.6的igcore19d.dll库的TIFF fill_in_raster函数中可利用的代码执行漏洞（CVE-2020-6094）。


https://blog.talosintelligence.c ... -may-2020.html#more

---

5 黑客在线泄漏4400万巴基斯坦移动用户的数据

黑客在线提供属于巴基斯坦领先的移动运营商Mobilink的数据库。该数据库包含用于4400万巴基斯坦人的个人身份和订阅信息，包括客户全名、家庭住址（城市、地区、街道名称）国家识别（CNIC）号码、移动电话号码、座机号码和订阅日期。该数据库似乎是2017年发生的数据泄露的结果，最早的条目可以追溯到2013年。上个月，一名黑客出售了一份包含1.15亿巴基斯坦移动用户记录的转储，有专家已获得包含4400万条记录的转储副本，并确定该副本是1.15亿数据转储的一部分。


https://securityaffairs.co/wordp ... ile-users-leak.html

---

6 欧洲当局捣毁名为InfinityBlack的网络犯罪组织

欧洲执法当局表示，在波兰和瑞士逮捕了数人之后，捣毁了一个名为“ InfinityBlack”的网络犯罪组织。Infinity Black是一个网站，黑客可以在其中共享被盗的用户凭据。该网站由一个组织运营，该组织建立了多个平台，专门销售受损的登录凭据。这些凭据以所谓的“组合列表”出售，其中包括许多可用于撞库攻击的用户名和密码组合。InfinityBlack组织不仅参与了被盗凭据的分发，而且还参与了恶意软件和黑客工具以及网络欺诈的开发和分发。在波兰国家警察搜查了六个地点并没收了价值约10万欧元的设备后，4月29日在波兰逮捕了5名犯罪嫌疑人。警方还关闭了两个托管数据库的平台，这些平台拥有超过1.7亿个条目。瑞士警方曾在2019年4月份在瑞士逮捕五名涉嫌从InfinityBlack账户中套现积分的个人。


https://www.securityweek.com/eur ... yblack-hacker-group

---