国内外简报industry briefing

2019年第25周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 新的网络钓鱼活动以WSH RAT为目标银行客户

Cofense的安全研究人员发现了一项针对商业银行客户的网络钓鱼活动,这些客户分发了一个跟踪为WSH RAT的新远程访问木马(RAT),WSH远程访问工具(RAT)是基于VBS(Visual Basic脚本)的Houdini蠕虫 (H-Worm)的变体,它最初出现在2013年的威胁环境中,并于2016年更新。WSH远程访问工具(RAT)与Houdini不同,因为它在JavaScript中,并在与其命令和控制(C2)服务器通信时使用不同的User-Agent字符串和分隔符。网络钓鱼邮件包含一个包含a的MHT文件 HREF 曾经打开过的链接会将受害者引导到包含WSH RAT版本的.zip存档。RAT允许攻击者窃取敏感数据,包括来自受害者浏览器和电子邮件客户端的密码,它还实现了键盘记录功能。专家指出,RAT允许远程控制受害者的系统,它还能够杀死反恶意软件解决方案并禁用Windows UAC。(详情链接

2. 安全预警 ——Firefox远程代码执行漏洞

近日,互联网爆出Firefox存在远程代码执行漏洞(CVE-2019-11708)。该漏洞是由于Array.pop中的问题,操作JavaScript对象时可能会出现类型混淆漏洞。利用该漏洞,攻击者可误导目标用户访问恶意网站,并在该网站中植入漏洞攻击代码,最终获得在目标用户终端设备远程执行任意代码的权限,从而控制目标用户的终端设备。该漏洞危害程度为高危(High)。目前,该漏洞已经被攻击者用于发起定向攻击,厂商已发布新版本修复此漏洞。(详情链接

3. XENOTIME黑客组织将目标扩大到美国公用事业部门

XENOTIME黑客组织将目标从石油和天然气扩大到电力公用事业领域,该组织以在安全仪表系统(SIS)中破坏性强而闻名。著名恶意软件TRITON就是由XENOTIME黑客组织使用,会造成设备物理破坏并停止运营。XENOTIME组织过去针对石油和天然气相关行业,从2018年底开始,该组织将目标扩大到美国等地区的电力公用事业机构。(详情链接

4. 十年间,美国因数据泄露事件损失超过1.5万亿美元

从公共消息来源收集的数据显示,自2008年以来美国发生了近9,700起违规事件,涉及超过107亿条记录,以2018年平均成本计算为每条记录148美元,粗略计算10年里财务损失超过1.6万亿美元。这些信息仅依赖于国家来源和媒体报道公布的细节。由于数据泄露披露法律因州而异,因此数据还可能比较保守。 在某些情况下,甚至不需要通知其数据暴露的个人。根据报告,加利福尼亚州是违规行为公开记录最多的州,也是认真对待消费者隐私的州,1,493起事件影响了55.9亿个人记录。(详情链接

5. WhatsApp缓冲区溢出漏洞

WhatsApp修补了一个在野外被利用的远程漏洞CVE-2019-3568,研究人员通过diff分析补丁,发现修补了一个整数溢出和缓冲区溢出漏洞。研究人员就在想攻击者会如何利用这个RCE漏洞长期对目标设备进行监听。最后发现,攻击者是通过漏洞获取App执行权限之后调用App中的代码执行WhatsApp Web功能,使得远端的Web浏览器对设备长期的监听。(详情链接

6. 百度:5月打击色情、赌博等有害信息34亿条

百度正式发布5月信息安全综合治理月报,向网民周知,百度利用人工智能等技术在处理网络虚假有害信息、保护网民权益方面的相关行动和信息。报告显示,2019年5月,仅在网络推广方面,百度就拒绝医疗变体词3500万个,下线不合规广告数量2.37亿条。百度内容安全中心通过全方面手段,人工巡查色情、赌博等相关有害信息579.2万余条;利用技术干预,机器大数据挖掘打击色情、赌博等相关有害信息34亿余条。(详情链接

7. 黑客“撞库”破解抖音百万账户密码,两月获利上百万元

汪某利用掌握的计算机技术,编写了大量撞库代码,对目前网络上比较热门的社交平台进行撞库,然后控制撞库获取的账户,在网上承接点赞刷量、发布广告等业务牟利,短短两个月的时间就获利上百万元。(详情链接

8. “紫队”的崛起:网络攻防不仅仅是红蓝

在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。紫队模式旨在让公司企业可以在整个演练过程中持续提升安全态势,获得即时效益和长期价值。团队可以应用最激进的攻击环境,并采用更复杂的 “假设” 方案,通过这些方案来更全面地理解安全控制和流程,并在攻击发生之前完成修复,而不再是存粹的 “对抗性” 关系。(详情链接

9. 多家交易所遭邮件钓鱼攻击,价值超40万美元的BTC或失窃

近日,多家数字货币交易所表示收到了敲诈勒索信息。敲诈者向交易所发送邮件或Telegram消息称,交易所存在漏洞,一旦被攻击,将导致平台无法被打开。若要获取漏洞报告,需向指定的地址支付BTC。然而,多家交易所表示其支付BTC后,对方只发送了初步的漏洞报告或没有回应。(详情链接

10. 美军网络司令部已在俄罗斯电网植入恶意软件 必要时可使其瘫痪

最新披露的报告显示,美军的网络司令部(Cyber Command)在过去一年中对俄罗斯的攻击规模要比以往任何时候都更加激进,并且在控制俄罗斯电网的多个系统中植入了“可以使其瘫痪的恶意软件”。纽约时报本周六的报道中,援引匿名官员的话说这主要是由于自去年夏天开始美国国会放宽了相关的法律授权限制,网络司令部的战略从防御态势转变为进攻性态势,从而允许在发生冲突的时候在网络攻击中造成严重的瘫痪攻击。(详情链接