每日安全简讯(20200524)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安全厂商披露针对从事制造业意大利公司的攻击活动

Yoroi研究人员发现针对全球范围内一些从事制造业的意大利公司的恶意活动，其中一些公司还属于汽车生产链的一部分。这项活动与先前活动Roma225、Hagga、Mana、YAKKA为同一攻击者。PaloAlto的UNIT42团队曾提出了该攻击者与Gorgon组织可能重叠的假设，但没有明确的证据证实这一点。此次活动中，感染链始于带有恶意宏的Microsoft Powerpoint，VBA宏利用mshta.exe下载并执行从pastebin中检索到的恶意代码。恶意代码解码为PowerShell脚本，该脚本从pastebin下载并执行另一个脚本，最终释放有效载荷AgentTesla。


https://yoroi.company/research/c ... lian-manufacturing/

---

2 黑客利用虚假Zoom安装程序安装后门和僵尸网络

趋势科技研究人员发现伪装成Zoom安装程序的恶意文件用于安装后门或Devil Shadow僵尸网络。恶意的Zoom安装程序来自非Zoom官方安装分发渠道。带有后门的示例中，恶意安装程序包含许多加密文件，进行解密后写入文件中执行。恶意样本在安装时会结束所有正在运行的远程实用程序，并打开端口5650和传输控制协议（TCP）以获得对受感染系统的远程访问。


https://blog.trendmicro.com/tren ... ke-zoom-installers/

---

3 黑客利用Sophos防火墙中0day漏洞传播勒索软件

黑客试图利用Sophos XG防火墙中的0day漏洞传播勒索软件。4月底，黑客曾利用该防火墙中0day SQL注入漏洞安装Asnark木马。在Sophos发布修补程序后，黑客修改了其恶意程序，以在未修补的Windows计算机上分发Ragnarok勒索软件。黑客开始在被入侵的防火墙上修改他们的脚本，使用只有在特定情况下才会触发部分攻击的方法“dead man switch”，如果某个特定文件被删除，设备被重新启动，这个开关将在稍后的时间启动勒索软件攻击。


https://news.sophos.com/en-us/2020/05/21/asnarok2/

---

4 研究人员发现利用安卓辅助功能服务的银行木马

ESET研究人员在Google Play中发现了名为“ DEFENSOR ID”的恶意安卓程序，其为银行木马。该木马可以执行许多恶意操作，包括清除受害者的银行账户或加密货币钱包、接管电子邮件或社交媒体账户。该木马在安装后还需要受害者启用安卓辅助功能，才能完全释放该应用程序的恶意功能。


https://www.welivesecurity.com/2 ... t-one-gain-stealth/

---

5 欧洲最大的银行之一桑坦德银行敏感数据遭泄露

研究人员发现欧洲最大的银行之一桑坦德银行正在其网站上泄露敏感数据。桑坦德银行是欧洲第5大银行，世界第16大银行。研究人员发现比利时分行桑坦德消费者银行（Santander Consumer Bank）的博客域配置错误，允许为其文件建立索引。 研究人员查看这些文件时，能够看到敏感信息，包括SQL转储和JSON文件，黑客可以使用这些文件来诱骗桑坦德银行的客户。研究人员立即与桑坦德银行联系，目前该问题似乎也得到了解决。


https://securityaffairs.co/wordp ... sensitive-data.html

---

6 数百万印度尼西亚人的选民信息在黑客论坛泄露

黑客在一个黑客论坛上发布了近200万印尼人的2014年选民信息，并声称将公布总计2亿选民的信息。在论坛帖子中，黑客指出，选民纪录储存在他们从印尼大选委员会(KPU)获取的个人PDF档案中，其中包含ID号、姓名、出生地点、出生日期和印度尼西亚选民的地址。KPU正在调查这次入侵，但否认被黑客攻击。


https://www.bleepingcomputer.com ... ed-on-hacker-forum/

---