每日安全简讯(20210520)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布将Python远控隐藏在文档图片中的行动分析报告

近日，安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示，安天CERT判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。此次事件中，攻击者充分利用技术实现规避反病毒软件查杀，具体为利用了隐写术将远控木马相关文件以压缩包格式存储于恶意文档里的图片中以备后期提取利用。首先将该恶意文档另存为docx文件，该文件格式具备ZIP文件的特性，然后另存为ZIP格式进行解压并获取其中的图片，最后提取图片中的远控木马文件。此远控木马采用Python语言编写，具备一般远控的上传、下载和命令执行等功能。


https://mp.weixin.qq.com/s/kASObxoxintb6As-7kR93g

---

2 Uptycs威胁研究小组发现了一个名为Simps的新僵尸网络

Uptycs的威胁研究小组发现了一个名为Simps的新僵尸网络，该僵尸网络属于Keksec组织，该组织主要致力于DDOS活动。Simps僵尸网络的二进制文件的Mirai和Gafgyt模块用于DDOS功能。因为执行后存在被感染的.log文件，僵尸网络可能处于发展的早期阶段。这个僵尸网络背后的作者有一个Youtube频道和Discord服务器用于使用和演示僵尸网络，Youtube频道和历史数据提供的证据表明，Simps僵尸网络自2021年4月以来一直活跃。


https://securityaffairs.co/wordp ... e/simps-botnet.html

---

3 研究人员发现了一个新的RIG Exploit Kit活动

在2021年2月，Bitdefender研究人员发现了一个新的RIG Exploit Kit活动，该活动利用了未打补丁的IE浏览器中的两个脚本引擎漏洞(CVE-2019-0752和CVE-2018-8174)。发送的恶意软件看起来像WastedLocker的新变种，但这个新样本缺少勒索软件的部分，这可能是从C&C服务器下载的。因为它的工作方式类似于下载有效载荷的加载器，所以研究人员将其命名为WastedLoader。


https://labs.bitdefender.com/202 ... gh-rig-exploit-kit/

---

4 新西兰怀卡托地区卫生局遭勒索软件攻击

周二上午，新西兰怀卡托地区卫生局(DHB)遭遇了一系列勒索软件的袭击，导致大部分IT服务中断，并大幅度削减了其六家附属医院的服务。攻击导致除邮件外的所有IT服务无法使用，病人记录无法获取，临床服务中断，手术推迟。电话线路中断，医院被迫只接收紧急病人。DHB的首席执行官宣称，系统可能需要几天才能重新运行。与此同时，医院工作人员使用老式的笔和纸，将非急诊病例转到其它地方。


https://www.theregister.com/2021 ... spitals_taken_down/

---

5 专家揭示58个Android跟踪程序存在多个隐私和安全问题

在来自不同供应商的58个Android跟踪软件应用程序中，总共发现了158个隐私和安全问题，这些问题可能使攻击者能够控制受害者的设备，劫持帐户，拦截数据，实现远程代码执行等等。这项新发现来自对斯洛伐克网络安全公司ESET进行的针对Android平台的86种跟踪软件的分析。迄今为止，只有6家供应商修复了在其应用程序中发现的问题。44家供应商选择不承认这些披露，而其他7家声称他们打算在即将到来的更新中解决这些缺陷。


https://thehackernews.com/2021/0 ... -ways-to-steal.html

---

6 研究人员发现多个冒充知名餐包配送公司的SMS骗局

在新冠肺炎疫情封锁期间，由于对自制食品包的需求不断上升，消费者已被警告要警惕餐包配送诈骗的激增。研究人员透露，他们已经发现了多起假冒Gousto和HelloFresh等知名送餐公司的短信诈骗事件。这些骗局有多种形式。在一个例子中，一些网络钓鱼活动假冒Gousto，要求收件人给他们的交付打分，以便参加抽奖，信息中的链接将他们带到一个虚假网站，旨在窃取个人和财务信息或获取重要凭证。


https://www.infosecurity-magazin ... ned-surge-meal-kit/

---