每日安全简讯(20200517)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现RATicate组织攻击多国工业公司

Sophos研究人员发现被称为RATicate组织发起的一系列攻击活动，目前已确定2019年11月至2020年1月之间的五个单独的活动，这些活动针对欧洲、中东和韩国工业公司。攻击活动使用了NSIS安装程序，NSIS是一个开源的Windows系统下安装程序制作程序。NSIS安装程序通过钓鱼邮件附件文档释放或远程链接下载释放。然后，它将释放初始DLL加载程序和加密数据。加载程序从内存缓冲区中的Cluck文件解密shellcode和第二个加载程序，在NSIS释放垃圾文件时将该加载程序注入内存。第二个加载程序再次读取Cluck文件，解密从未使用过的shellcode，在子进程中注入最终的有效载荷，其中包括Lokibot、Betabot、Formbook和AgentTesla。研究人员表示，根据活动中使用的有效载荷，该组织旨在获得对目标公司网络上计算机的访问和控制权，目前还不确定该组织是专注于企业间谍活动还是仅充当恶意软件即服务的提供商。


https://news.sophos.com/en-us/2020/05/14/raticate/

---

2 研究人员发现针对插件WooCommerce的恶意代码

Sucuri研究人员发现针对WordPress插件WooCommerce的恶意代码。WooCommerce插件具有强大的功能，可以帮助网站所有者建立一个电子商务商店。该恶意软件在漏洞利用成功入侵WordPress网站后，以PHP脚本的形式安装。PHP脚本用于扫描其它WordPress目标，连接到其数据库并向其查询WooCommerce信息。该脚本还提取MySQL数据库凭据，使其可以访问受感染商店的WordPress数据库并运行SQL查询，这些查询旨在收集WooCommerce特定信息，包括商店的订单和付款总数。


https://blog.sucuri.net/2020/05/ ... ocommerce-data.html

---

3  SoftPAC虚拟控制器中漏洞可致OT网络被攻击

Claroty研究人员在Opto 22的SoftPAC虚拟可编程自动化控制器（PAC）中发现了漏洞，漏洞可致OT网络受到攻击。SoftPAC是一种基于软件的自动化控制器，可以托管在Windows设备上，已在全球范围内用于运输、IT、关键制造和商业设施等领域。研究人员共发现五个漏洞：外部控制的文件名或路径（CVE-2020-12042）、密码签名不正确验证（CVE-2020-12046）、访问控制不当（CVE-2020-10612）、不受控制的搜索路径元素（CVE-2020-10616）、授权不当（CVE-2020-10620）。这些漏洞允许远程攻击者访问SoftPAC代理，以向PAC发送启动或停止命令或更新其固件。这些类型的虚拟控制器可以用作OT网络的入口点，这也成为破坏OT环境的攻击者的切入点。


https://blog.claroty.com/softwar ... mote-code-execution

---

4 网络钓鱼活动伪装成微软Teams通知以窃取凭据

Cofense网络钓鱼防御中心最近发现了一个网络钓鱼活动，该活动针对员工以获取其Microsoft凭据。邮件包含“AudioChat”通知链接，声称该链接来自Microsoft Teams。Teams是最受远程办公员工欢迎的平台之一，当前正处于COVID-19大流行期间，有数百万人在远程工作。邮件文本显示“团队成员向您发送了离线消息。”如果用户点击“AudioChat”，将自动重定向到Microsoft Teams钓鱼页面。提供凭据后，会将用户重定向到真实的“office.com”网页，以增加真实性。


https://cofense.com/new-phishing ... teams-notification/

---

5 英国电网公司Elexon内部IT系统遭遇网络攻击

英国电网公司Elexon于近日遭遇网络攻击，电力供应未影响。Elexon管理着电力供应链的关键部分，即平衡与结算代码(BSC)，其客户包括英国供应商、发电机房、分销商、交易商和能源进出口商。该公司表示，此次攻击仅针对Elexon内部IT系统和计算机，BSC中央系统和EMR目前不受影响，并且可以正常工作。Elexon正在采取措施恢复内部IT系统。


https://www.infosecurity-magazin ... biz-suffers-outage/

---

6 黑客对挪威国家投资基金Norfund进行BEC攻击

挪威的国家投资基金Norfund遭受了企业电子邮件入侵（BEC）攻击，1000万美元被黑客窃取。黑客入侵了Norfund电子邮件系统，并监视了该基金员工及其合作伙伴之间的通信长达数月。确定了负责汇款的员工后，黑客创建了一个Norfund电子邮件地址，以冒充被授权通过Norfund银行转帐大量资金的个人。黑客替换了提供给合作伙伴的付款信息，以劫持转移到他们控制下的墨西哥银行帐户中的款项。


https://securityaffairs.co/wordp ... y-norfund-scam.html

---