《维他命》每日安全简讯20180620

发布时间 2018-06-20

【威胁情报】研究团队发现APT组织Olympic Destroyer针对欧洲的新目标发起攻击


2018年5月至6月卡巴斯基实验室发现属于APT组织Olympic Destroyer的新钓鱼文件样本,该组织现在正在针对俄罗斯的金融机构和欧洲的生物和化学实验室。Olympic Destroyer曾在2018年3月针对韩国平昌冬奥会的组织者、供应商和合作伙伴发起攻击。研究团队披露了该组织的新攻击活动的相关IoC。


原文链接:https://securelist.com/olympic-destroyer-is-still-alive/86169/


【威胁情报】研究人员称macOS的QuickLook功能可导致加密磁盘的数据泄露


Digita Security的研究人员Patrick Wardle警告称macOS用户存储在加密磁盘上的数据并没有得到很好的保护,因为macOS的QuickLook功能可以保存图片等文件的预览。当通过UI查看目录时,QuickLook将自动创建和缓存文件的缩略图,这些缩略图保存在SQLite数据库中,可通过相关命令进行提取。即使原始文件被删除,这些缓存依旧存在。


原文链接:https://threatpost.com/macos-quicklook-feature-leaks-data-despite-encrypted-drive/132905/


【勒索App】研究团队发布关于勒索AppSamSam的新变体的分析报告


Malwarebytes Labs研究团队发布关于SamSam的新变体的分析报告,勒索AppSamSam的有效荷载(实际实行磁盘加密的代码)是运行时解密的,需要攻击者手动输入密码来实行攻击,这是SamSam的特征。该特征使得SamSam不会自行传播,意外下载和实行该恶意App的用户不会受到伤害,这也意味者SamSam主要用于有针对性的攻击。


原文链接:https://blog.malwarebytes.com/threat-analysis/2018/06/samsam-ransomware-controlled-distribution/


【恶意App】研究团队发现主要针对Android的新恶意AppHeroRat


ESET研究团队发现一个新的Android Rat家族HeroRat,该Rat家族至少从2017年8月开始活跃,主要利用Telegram协议进行命令和控制以及数据泄露。HeroRat通过多种方式传播,包括第三方应用商店、社交媒体和聊天应用。HeroRat主要针对伊朗,其间谍功能包括拦截文本消息和联系人信息、发送短信、拨打电话、录制声音和屏幕、获取设备位置以及修改系统设置。


原文链接:https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/


【恶意App】研究团队发现正在开发中的新银行木马Karius


Check Point的研究团队发现了一个正在开发中的新银行木马Karius,该木马通过RIG Exploit Kit进行分发,旨在实行web注入攻击将额外的字段添加到银行的合法登录页面,并将用户输入的信息发送给攻击者。Karius由三个文件组成,包括injector32\64.exe、proxy32\64.dll和mod32\64.dll,这三个文件共同用于拦截用户的通信,但该恶意App似乎仍处于开发或测试状态,这也是为什么其尚未针对任何具体的金融机构。


原文链接:https://research.checkpoint.com/banking-trojans-development/


【安全播报】前CIA雇员被指控向WikiLeaks泄露Vault 7系列的CIA黑客工具


美国司法部宣布对前CIAApp工程师Joshua Schulte提出新的指控,称其涉嫌向WikiLeaks泄露CIA机密文件、App项目和黑客工具。这些泄密内容被称为Vault 7系列,它显示了CIA如何利用黑客工具来监控计算机、手机、电视、网络摄像头和SSL连接等。曼哈顿检察官Geoffrey S. Berman称,这种非法泄密可能对国家安全造成严重的威胁,潜在地危及美国人民的安全。


原文链接:https://www.bleepingcomputer.com/news/government/ex-cia-employee-charged-with-leak-of-classified-cia-vault-7-hacking-tools/