今日威脅情報(2019/3/1)

今日威脅情報(2019/3/1)

APT活動

1、360威脅情報中心釋出，URLZone：疑似針對日本高科技企業僱員的攻擊活動分析。360威脅情報中心捕獲到多個專門針對日本地區計算機使用者進行攻擊的誘餌文件，文件為攜帶惡意巨集的Office Excel檔案。通過分析相關魚叉郵件的收件人資訊，我們發現受害者均為日本高科技企業僱員。從攻擊的定向性、受害者分佈及過往相關背景資訊來看，攻擊者主要目的是為斂財，同時也不排除其有竊取商業機密和智慧財產權的可能性。

誘餌文件內的惡意巨集程式碼及後續的PowerShell指令碼會呼叫多個與系統語言區域相關的函式，並依賴於函式的返回值解密後續程式碼，從而實現專門針對日文系統使用者的精確投遞。比如通過判斷貨幣格式化後的長度、使用本機的LCID（LanguageCode Identifier）作為異或解密的金鑰等方式來區分是否為日本地區的計算機。攻擊者最終通過圖片隱寫技術下載並執行URLZone，並在隨後的程式碼中進一步檢測執行環境，以避免在沙盒、虛擬機器以及分析機上暴露出惡意行為。

https://mp.weixin.qq.com/s/NRytT94ne5gKN31CSLq6GA

威脅活動

1、Golang編寫的惡意軟體對電子商務網站的攻擊活動。

https://blog.malwarebytes.com/threat-analysis/2019/02/new-golang-brute-forcer-discovered-amid-rise-e-commerce-attacks/

2、新的網路釣魚活動利用Microsoft的Azure Blob儲存來竊取使用者的Microsoft帳戶資訊。此文為網路釣魚分析文，從事此專案或工作的可以參考。

https://www.edgewave.com/phishing/feeling-blue-about-phishing/

3、Qbot惡意軟體的迴歸，最新的應變依賴於Visual Basic指令碼植入目標機器。

https://www.theregister.co.uk/2019/02/28/new_qbot_banking_malware_strain/

4、MageCart組織動腦想策略，以更好地竊取您的信用卡。

https://www.bleepingcomputer.com/news/security/magecart-group-evolves-tactics-to-better-steal-your-credit-cards/

https://www.riskiq.com/research/inside-magecart/

技術分析

1、黑客組織如何竊取流行的Instagram個人資料。來自趨勢的分析。挺不錯的分析文。

https://blog.trendmicro.com/trendlabs-security-intelligence/how-a-hacking-group-is-stealing-popular-instagram-profiles/

漏洞相關

1、乾貨：Cisco RV110W，RV130W和RV215W路由器管理介面遠端命令執行漏洞。

雖然有漏洞，但是沒法除錯啊，希望研究路由的老哥們能搞定，哈哈哈。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

資料洩露相關

1、道瓊斯維持資料洩露，超過240萬條記錄被洩露，洩露伺服器是Elasticsearch，資料大小為4.4GB，記錄總數為2,418,862。它包含有關政治暴露人士，他們的親屬，親密夥伴以及他們所連線的公司的詳細資訊。其他資訊包括有犯罪記錄的人，國家和國際政府制裁名單和類別，以及道瓊斯的簡介。所有這些細節都用於分析財務風險並識別與這些人/實體相關的非法活動。

說明下，這些資料對於國家反貪腐、查詢高智商犯罪記錄等有很大用處，有褲子的老哥共享下。

https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly/

其他國際情報新聞

1、美俄網路戰才剛剛開始……

https://www.dw.com/en/opinion-us-russian-cyber-war-just-getting-started/a-47728060

2、網路釣魚是供應鏈攻擊的最大威脅

https://www.helpnetsecurity.com/2019/02/28/microsoft-security-intelligence-report-volume-24/

3、攻擊者入侵孟加拉國大使館網站以分發惡意Word文件。到孟加拉國駐開羅大使館的網站似乎受到了入侵者的控制。嘗試訪問網站上的幾乎任何URL都會以儲存檔案的請求結束。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/bangladesh-embassy-website-in-cairo-compromised/

4、印巴衝突、網路戰爭

https://www.cnbc.com/2019/02/27/india-pakistan-online-war-includes-hacks-social-media.html

5、聯合國航空機構隱瞞了嚴重的黑客行為。聯合國機構與192個成員國和行業團體合作，負責制定國際民用航空標準，包括安全和保障標準。典型的APT攻擊。期待後續有大報告。美國飛機制造商和國防承包商洛克希德·馬丁公司是第一個引起關注的人，警告國際民航組織其伺服器被劫持以向政府和航空公司計算機傳播惡意軟體。

https://phys.org/news/2019-02-aviation-agency-conceals-hack-media.html