每日安全简讯(20200530)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 NSA披露俄罗斯Sandworm积极利用Exim MTA漏洞

美国国家安全局（NSA）发布警报称，自2019年8月以来，与俄罗斯相关联的APT组织Sandworm一直在利用Exim邮件传输代理（MTA）软件中的漏洞。该漏洞为CVE-2019-10149，允许攻击者远程执行命令，已于去年被修复。NSA表示，当Sandworm利用此漏洞时，受害计算机会从Sandworm控制的域下载并执行Shell脚本。然后，该脚本将禁用网络安全设置、添加特权用户并执行其它脚本以允许进一步利用。


https://www.cyberscoop.com/nsa-a ... ail-relay-software/

---

2 安全专家发现针对多国工业企业设备的针对性攻击

截至2020年5月上旬，卡巴斯基ICS CERT专家已确定了针对日本、意大利、德国、英国等国家/地区组织的一系列针对性攻击，攻击受害者包括工业企业的设备和软件供应商。网络钓鱼电子邮件被用作初始攻击媒介，邮件根据特定受害者的特定语言量身定制。仅当目标操作系统与网络钓鱼电子邮件中使用的语言匹配时，攻击中使用的恶意软件才会执行破坏性活动。攻击者使用恶意Microsoft Office文档、PowerShell脚本，以及各种难以检测和分析恶意软件的技术。专家进一步分析发现，攻击者使用Mimikatz实用程序窃取存储在受攻击系统Windows帐户的身份验证数据。攻击者的最终目的目前未知。


https://ics-cert.kaspersky.com/r ... strial-enterprises/

---

3 安全厂商发布WizardOpium活动漏洞利用技术细节

卡巴斯基研究人员针对先前发现的WizardOpium活动中漏洞利用和漏洞本身进行了技术分析。2019年10月，研究人员在与朝鲜有关的新闻网站上发现了一次水坑攻击活动，该活动利用Google Chrome和Microsoft Windows的0day漏洞，具体为Google Chrome远程执行代码漏洞（CVE-2019-13720）和Microsoft Windows特权提升漏洞（CVE-2019-1458）。攻击中使用漏洞利用加载器，负责对目标进行初始验证，并执行包含完整浏览器漏洞的下一阶段JavaScript代码。漏洞利用加载器还包含shellcode字节数组、PE文件漏洞利用后期使用的WebAssembly（WASM）模块。WASM模块主要包含利用Windows内核组件win32k提升特权来逃避Google Chrome沙盒的代码，它还负责下载和执行实际的恶意软件。


https://securelist.com/the-zero- ... -wizardopium/97086/

---

4 Octopus Scanner通过GitHub项目供应链攻击传播

GitHub安全团队发布安全警报，名为Octopus Scanner的恶意软件正通过GitHub上的NetBeans项目开源供应链攻击传播。Octopus Scanner是一种多平台恶意软件，可在Windows、macOS和Linux上运行，并下载远程访问木马（RAT）。它可识别用户的NetBeans目录，枚举NetBeans目录中的所有项目，将恶意载荷复制cache.dat到nbproject/cache.dat，修改文件以确保每次构建NetBeans项目时都执行有效载荷，如果恶意载荷是Octopus Scanner本身的一个实例，则新建的JAR文件也会被感染。专家发现了由Octopus Scanner进行恶意操作并提供恶意代码的26个开源项目。下载任何一个项目后，该恶意软件都会感染用户的本地计算机，通过扫描受害者的工作站以查找本地NetBeans IDE安装，并尝试感染其他开发人员的Java项目后门。Octopus Scanner活动已持续多年，最早的样本已于2018年8月上传到VirusTotal。


https://securitylab.github.com/r ... source-supply-chain

---

5 信息窃取木马TrickBot使用nworm新模块传播

2020年4月，Unit42团队发现TrickBot木马将其传播模块之一“mworm”更新名为“nworm”的新模块。TrickBot使用模块执行不同的功能，其中一项关键功能是从受感染的Windows客户端传播到易受攻击的域控制器（DC）。使用新模块传播不会在被感染的DC上留下任何伪像，并且会在重新启动或关机后消失。新模块通过网络流量检索一个加密的二进制文件或以其它方式编码的二进制文件，作为一个TrickBot可执行文件。由新模块造成的TrickBot感染从系统RAM运行，并且在受感染的主机上似乎不会持久存在。


https://unit42.paloaltonetworks. ... propagation-module/

---

6 WordPress插件PageLayer中漏洞可致网站被擦除

Wordfence团队在其WordPress插件PageLayer中发现了两个高严重性漏洞，可能导致攻击者擦除网站内容或接管网站。PageLayer插件是拖放网站构建器，已有被超过20万个站点安装。第一个漏洞允许具有订阅级别及以上权限且经过身份验证的用户更新和修改带有恶意内容的帖子，以及更多功能。第二个漏洞允许攻击者代表网站管理员伪造一个请求，以修改插件的设置，从而注入恶意Javascript。以上漏洞已在最新版本1.1.4中被修复。


https://www.wordfence.com/blog/2 ... 00-wordpress-sites/

---