每日安全简讯(20200724)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OilRig使用RDAT后门攻击中东电信组织

Unit42团队在分析针对中东电信组织的攻击活动中，发现与OilRig组织相关后门变种RDAT。该变种使用一种新颖的基于电子邮件的命令和控制(C2)通道，该通道依赖于一种隐写术技术，将命令和数据隐藏在电子邮件附加的位图（BMP）图像中。


https://unit42.paloaltonetworks. ... nnel-steganography/

---

2 多模块僵尸网络Prometei利用SMB传播

思科Talos最近发现了一个复杂的攻击活动，其使用了一个名为Prometei的多模块僵尸网络，通过多种传播方式，例如使用被盗凭据的SMB、psexec、WMI和SMB漏洞，最终挖取门罗币以获取经济利益。感染开始于僵尸网络主文件，该文件通过SMB从其它受感染系统复制，使用修改后的Mimikatz模块获取的密码和永恒之蓝等漏洞。Prometei有超过15个可执行模块，所有模块都由主模块下载和驱动，主模块通过HTTP与命令和控制(C2)服务器持续通信。


https://blog.talosintelligence.c ... est-for-monero.html

---

3 Twilio公司SDK遭黑客注入恶意代码

Twilio表示，黑客在访问其配置错误的Amazon AWS S3存储桶之一后，向TaskRouter JS SDK 1.20版本注入了恶意代码。Twilio是一家云通信平台即服务（CPaaS）公司，为4万多家企业提供通信支持，并帮助开发者使用Twilio的web服务API为应用添加语音、视频、消息和认证功能，客户包括Twitter、Netflix、Uber等。该恶意代码使用户的浏览器加载一个与Magecart攻击组相关的额外URL。在至少服务了24小时后，研究人员已将该恶意SDK替换。


https://www.bleepingcomputer.com ... -malvertising-code/

---

4 Citrix Workspace存在特权升级漏洞

研究机构在Citrix Workspace应用程序中发现一个漏洞，该漏洞可能允许攻击者进行特权升级，从而远程入侵主机。攻击者可通过利用Workspace应用程序的自动更新功能，从而获得访问易受攻击的Workspace应用程序安装的权限，攻击向量为一个命名管道。目前该漏洞已经被修补，Citrix Workspace用户应该尽快安装最新版本(2006.1或1912 LTSR CU1)。


https://www.theregister.com/2020/07/21/citrix_workspace_app_vuln/

---

5 英国约克大学遭遇数据泄露安全事件

英国约克大学（University of York）公布了黑客窃取工作人员和学生的个人详细信息的数据泄露事件。该事件源于黑客对第三方服务提供商技术公司Blackbaud的勒索软件攻击，致使黑客能够对Blackbaud客户的数据副本进行操作。被盗数据可能包括姓名、出生日期和学生编号以及地址、电话号码、电子邮件地址和专业详细信息等信息。目前该大学正在对该事件进行调查。


https://www.infosecurity-magazin ... york-investigating/

---

6 黑客在暗网出售近28万Instacart帐户

据报告称，近28万个Instacart帐户在暗网出售。Instacart通过应用程序为客户提供杂货配送服务。被非法出售数据包含客户名、信用卡号和数字、订单历史记录等。该公司发言人表示目前不了解任何数据泄露事件。


https://www.techtimes.com/articl ... ark-web-company.htm

---