每日安全简讯(20210314)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lemon_Duck针对未修补的微软Exchange服务器

Lemon_Duck是一个以企业网络为目标的挖矿僵尸网络，它的操控者现在正在利用ProxyLogon漏洞攻击未修补的Microsoft Exchange服务器。Kaspersky全球研究和分析团队的主管Costin Raiu称，Lemon_Duck对易受攻击的Exchange服务器的持续攻击已经达到了巨大的规模。攻击者利用部署在受感染服务器上的web shell从p.estonine[.]com和cdn.chatcdn[.]net下载恶意载荷。Hunterss实验室在分析对本地Microsoft Exchange服务器的大规模利用时，也观察到了这些与Lemon_Duck有关的妥协指标。


https://www.bleepingcomputer.com ... yptomining-malware/

---

2 新ZHtrap僵尸网络部署蜜罐以查找更多目标

一个新的僵尸网络正在搜寻并将受感染的路由器、DVR和UPnP网络设备转换为蜜罐，以帮助其找到其他感染目标。360 Netlab安全研究人员发现了这个恶意软件，并将其命名为ZHtrap，它基于Mirai的源码，支持x86、ARM、MIPS和其他CPU架构。一旦接管了设备，它就会借助一个只允许已经运行的系统进程的白名单来阻止其他恶意软件再次感染其bot，从而阻止所有尝试运行新命令的行为。ZHtrap僵尸程序使用Tor命令和控制（C2）服务器与其他僵尸网络节点进行通信，并使用Tor代理来隐藏恶意流量。它还从随机生成的IP地址列表中扫描具有弱Telnet密码的设备，这些IP地址是通过部署在已经被僵尸网络捕获的设备上的蜜罐收集的。


https://www.bleepingcomputer.com ... -find-more-targets/

---

3 Metamorfo银行木马通过滥用AHK逃避检测

研究人员警告称，Metamorfo银行木马正在滥用AutoHotKey（AHK）和AHK编译器，以逃避检测并窃取用户的信息。根据Cofense网络钓鱼防御中心（PDC）的说法，该恶意软件（也称Mekotio）正在使用两封单独的电子邮件作为初始感染媒介来针对西班牙语用户。在两种情况下，恶意代码都包含在.ZIP文件中，它包含三个文件：合法的AHK编译器可执行文件（.EXE），恶意的AHK脚本（.AHK）和银行木马本身（.DLL）。这些文件被解压成一个随机命名的文件，存放在C:\\ProgramData中。然后脚本将运行AHK编译器，AHK编译器将执行AHK脚本，而AHK脚本最终将Metamorfo加载到AHK编译器的内存中。研究人员在周四的一篇文章中解释说，Metamorfo将在AHK编译器进程中运行，使用带数字签名的二进制文件作为前端，使端点解决方案的检测更加困难。


https://threatpost.com/metamorfo ... -autohotkey/164735/

---

4 谷歌发布更新修复Chrome浏览器中零日漏洞

谷歌解决了Chrome浏览器中另一个被积极利用的零日漏洞，这是该公司在一个月内第二次发布此类补丁。上周五，谷歌发布了适用于Windows、Mac和Linux的89.0.4389.90版本，预计将在未来几天或几周向所有用户推出。虽然更新总共包含了5个安全补丁，但Google修复的最重要的漏洞是其Blink渲染引擎中的一个释放后重利用漏洞，该漏洞被追踪为CVE-2021-21193。


https://thehackernews.com/2021/0 ... -day-bug-found.html

---

5 黑客访问了WeLeakInfo客户的个人详细记录

WeLeakInfo.com是一个数据泄露通知服务，允许其客户验证其凭据是否在数据泄露中受到损害。该服务声称数据库中有超过120亿的记录，来自1万多起数据泄露事件。Cyble的安全专家注意到，一个黑客论坛的成员声称已注册WeLeakInfo的域名wli.design，该域名注册于2021年3月11日。然后，威胁行为者为该域创建了一个电子邮件地址，并使用它访问了在支付服务Stripe上注册的网络犯罪集团的帐户。通过访问Stripe帐户，威胁行为者可以访问客户的详细信息，包括电子邮件、地址、部分信用卡详细信息和购买历史。


https://securityaffairs.co/wordp ... fo-leaked-data.html

---

6 Premier Diagnostics公司泄露约5.2万用户数据

2月22日，消费者隐私监督机构Comparitech的网络安全专家鲍勃·迪亚琴科(Bob Diachenko)发现了Premier Diagnostics公司的漏洞。在一个可公开访问的数据库中，存储的敏感客户数据包括扫描护照、健康保险身份证和驾驶执照。研究人员发现，大约5.2万名用户的数据可能在这次安全事件中受到了影响。根据研究人员看到的数据，受影响的人主要来自犹他州，内华达州和科罗拉多州。


https://www.infosecurity-magazin ... y-unsecured-server/

---