国内外简报industry briefing

国内外信息安全简报2018年第十八周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.FTC发电信诈骗警告:近几月已有21位华人被骗250万美元

联邦贸易委员会(FTC)本周向生活在美国的华人社区发布警告,称近期发现了多起伪装成中国大使馆的诈骗电话。这些诈骗内容五花八门,有的是要求收件人都中国领事馆办公室领取包裹或文件,有的是提供人民币兑换美元服务,有些是要求向领事馆提交个人信息调查以参与欺诈调查,从而避免驱逐出境等等。FTC 认为最初这些诈骗电话仅限于中国移民或者使用中国姓氏的电话,但在最近几周,这些诈骗电话已经在全美多州肆虐,已经不在于对方是谁了。同其他垃圾诈骗电话相同,显示的来电号码会和机主的号码相似,或者使用同中国领事馆相同的(212)244 开头号码。除了电话之外,FTC 还警告称此类诈骗内容还有可能会通过微信方式进行传播。(详情链接

2. 垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重

近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。(详情链接

3.欧洲刑警组织捣毁大型付费DDoS服务网站

据外媒报道,当地时间周三上午,欧洲刑警组织宣布关闭了Webstresser.org--一个明码标价出售DDoS网络攻击的网站。据欧洲刑警披露,该网站总共有13.6多万名用户,截止到4月前总共发起了400万起网络攻击。DDoS攻击通过向目标网站或服务器发出大量请求迫使后者被迫下线。2016年的Dyn攻击中就曾成功地让Twitter、Spotify、Reddit等大型网站被迫暂时关闭。黑客们如果想要发起这样的攻击则需要大量的设备--通常用的是被劫持的IoT设备--但像Webstresser.org等这样的网站却能为愿意付钱的人直接提供这种服务。这意味着犯罪分子不需要技术专家也能发起网络攻击。据《福布斯》披露,美国人是最主要的攻击对象和客户。除了捣毁网站,警方还逮捕了该网站在英国、克罗地亚、加拿大以及塞尔维亚的四名管理者,另外位于荷兰、意大利、西班牙、澳大利亚等高级客户也被逮捕,而该网站设立在荷兰、美国、德国的基础设施也已被查封。(详情链接

4.新型挖矿病毒Wmixml现身,国内企业已有中招

近日,千里目安全实验室EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。 EDR 安全团队在持续追踪后发现了病毒入侵途径,已将此病毒命名为 wmixml 挖矿病毒,同时制定了详细的应对措施。(详情链接

5.  “免流量上网”HTTP注射器或被利用入侵基础设施

“HTTP注入”应用(也称HTTP注射器)是一种移动设备免费互联网访问方案,即使用该应用“用户”可以免流量访问互联网,HTTP注射器如今正在 Telegram 公共频道上广泛传播。这类应用会利用恶意代码修改网络请求上的 HTTP 标头,从而诱导“强制登录门户”(Captive Portal)允许用户访问互联网。强制性门户属于移动运营商或私有 WiFi 网络向用户展示的网页,其往往要求用户输入密码或者通过 SIM 卡验证等方式获取互联网连接权限。“强制登录门户”(Captive Portal):是一个Web登录页面,通常由网络运营商或网关在用户能够正常访问互联网之前拦截用户的请求,并将一个强制登录或认证主页呈现给用户。(详情链接

6.亚马逊智能音箱被爆可能窃听并记录谈话

亚马逊的 Alexa 是如今大热的一款智能音箱,只需你说出它的唤醒词,比如“Alexa”、“Echo”或 “Computer”,它就能对你的声音指令作出响应。不过,现在这一特性也让人们开始担心自己的隐私。来自安全公司 Checkmarx 的研究人员发现了一种方法,可以让 Alexa 窃听、记录并发送用户的谈话记录。(详情链接

7.全球4万家酒店面临“万能房卡”威胁

网络安全公司 F-Secure 两名研究人员发现,知名锁和安防解决方案供应商 Assa Abloy 旗下 VingCard 提供的电子门锁软件 Vision 中存在设计漏洞,全球数百万个酒店房间的电子门锁面临黑客入侵风险。这两名研究人员利用该漏洞设计了一种设备,能读有效或过期的酒店房卡,并生成一个主密钥来打开一家酒店的所有房间,或让攻击者进入安全的酒店区域。(详情链接

8.2300多名医生提交的患者记录暴露,美国十余家医疗机构受影响

安全网站 KrebsOnSecurity 的研究人员在2018年4月20日发现,MEDantex 旗下的一个在线门户网站暴露了患者的医疗记录,涉及2300多名医生。该网站允许医生上传音频文件——需要转录的口述录音,这个功能页面本应得到加密保护,但却允许任何互联网用户对其进行访问。MEDantex是一家总部位于美国堪萨斯州的医疗转录公司,主要业务是为医院、诊所和私人医生提供定制的转录解决方案。(详情链接

9.【安全预警】关于Drupal Core远程代码执行漏洞

近期,互联网爆出Drupal Core远程代码执行漏洞(CVE-2018-7602)。综合利用上述漏洞,攻击者可实现远程代码执行。部分漏洞验证代码已被公开,近期被不法分子利用进行大规模攻击的可能性较大。故恒安嘉新第一时间发布预警公告。该漏洞危害程度为高危(High)。目前,厂商已发布了漏洞修复补丁。(详情链接

10.谷歌被指控侵犯 Android 用户隐私

来自美国某机构的技术与人权研究员表示,谷歌新推出的名为“Chat”的信息服务完全藐视了谷歌用户的隐私。他认为,端到端加密最起码的隐私保护手段,提供会话服务的公司尤其应当注意。而谷歌的这项服务没有采取端到端加密,相当于把用户的会话和隐私拱手让给网络犯罪分子和监控机构。在 Facebook 事件尚未结束的当下,谷歌此举不仅无视用户隐私,甚至还侵犯了用户的人权。(详情链接