《维他命》每日安全简讯20180820

发布时间 2018-08-20

【威胁情报】研究团队发现朝鲜APT组织Darkhotel利用VBScript脚本引擎0day的攻击活动


趋势科技的安全研究团队发现朝鲜APT组织Darkhotel正在利用微软VBScript脚本引擎中的零日漏洞(CVE-2018-8373)发起攻击活动,该漏洞是一个use-after-free漏洞,可允许攻击者在目标计算机上运行shellcode。在最新版本的Windows中,微软在浏览器的默认配置中禁用了VBScript,使其不易受到攻击。微软已在8月安全更新中修复了此漏洞。

 

原文链接:https://www.bleepingcomputer.com/news/security/zero-day-in-microsofts-vbscript-engine-used-by-darkhotel-apt/


【威胁情报】研究人员演示如何利用语音信箱劫持PayPal和WhatsApp账户


安全研究人员Martin Vigo称攻击者可利用语音信箱入侵用户的在线账户,如PayPal和WhatsApp等。大多数运营商不仅支持通过手机访问语音信箱,还支持通过PIN码使用外部电话号码访问语音信箱。许多用户使用了默认的PIN码,例如电话号码的后四位或者1111及1234等简单密码。研究人员演示了如何利用语音信箱来重置用户的在线账户的密码,并最终劫持用户的PayPal和WhatsApp账户。

 

原文链接:https://www.kaspersky.com/blog/hacking-online-accounts-via-voice-mail/23499/


【恶意软件】研究团队发现新的AZORult木马变体及勒索软件Aurora


Salesforce研究人员Vishal Thakur发现新的AZORult木马变体及勒索软件Aurora。到2018年7月底,研究人员观察到该木马被用于针对全球计算机的恶意攻击活动中,最初的感染媒介是网络钓鱼邮件,其包含两个有效荷载,一个是主要用于窃取用户凭据的木马,例如本地账户和浏览器的凭据等。另一个有效荷载是勒索软件Aurora,其勒索的赎金为150美元。

 

原文链接:https://www.bleepingcomputer.com/news/security/azorult-trojan-serving-aurora-ransomware-by-malactor-oktropys/


【恶意软件】安全研究人员发现主要针对韩国的新勒索软件MAFIA


研究人员发现主要针对韩国的新勒索软件家族MAFIA。目前还不知道MAFIA如何进入用户的系统,但它很可能是通过网络钓鱼活动实现这一步的。MAFIA利用OpenSSL来加密文件,它使用AES-256算法的CBC模式,并在加密的文件后附加.MAFIA扩展名。由于其加密过程很慢,用户可通过终止其进程(通常名为winlogin.exe)或关闭计算机来阻止它。MAFIA使用Tor代理进行C2通信,其通过HTTP GET请求来发送加密密钥和IV。

 

原文链接:https://bartblaze.blogspot.com/2018/08/mafia-ransomware-targeting-users-in.html


【恶意软件】研究机构发布关于银行木马Trickbot的新变体的分析报告


Cyberbit研究团队发现银行木马Trickbot的新变种使用了新的逃避检测技术。Trickbot自2016年以来一直活跃,其包括窃取浏览器信息、窃取Outlook信息、锁定计算机、收集系统和网络信息以及窃取域名凭据等模块。研究人员发现Trickbot的新变种采用进程挖空的代码注入技术,大多数安全产品都无法检测到这种威胁。该变体的行为模式类似于银行木马Flokibot。

 

原文链接:https://www.cyberbit.com/blog/endpoint-security/latest-trickbot-variant-has-new-tricks-up-its-sleeve/


【漏洞补丁】研究人员披露加拿大ISP的TRS系统中的一个安全漏洞


8月19日Project Insecurity的两名安全研究人员Dominik Penner和Manny Mand披露Soleo Communications开发的TRS系统存在一个本地文件泄露漏洞。TRS系统是指电信中继服务,用于帮助耳聋或语言障碍等残疾人通过键盘或其它辅助设备拨打电话。加拿大的所有主要ISP都受影响,包括Rogers、Telus和BCE等,这些ISP的服务对象涵盖了超过3000万加拿大公民。所有的主要加拿大ISP都已经修复了该漏洞。

 

原文链接:https://www.bleepingcomputer.com/news/security/canadian-telcos-patch-vulnerability-in-trs-systems/