《维他命》每日安全简讯20190111

发布时间 2019-01-11

1、新DNS劫持浪潮席卷全球,疑为伊朗黑客所为


FireEye发现一波针对全球的大规模DNS劫持浪潮,影响了中东、北非、欧洲和北美的数十个域名。这些域名属于政府、电信和互联网基础设施等。虽然目前研究人员还没有将此活动与任何攻击组织关联起来,但初步的研究表明攻击者疑与伊朗有关。该攻击活动的多个集群在2017年1月至2019年1月期间一直处于活跃状态,并且存在多个不重复的域名、IP地址集群。这意味着该攻击活动可能并不是单个攻击者的活动。攻击者的技术主要涉及修改DNS A记录、NS记录和重定向。


 原文链接:

https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html


2、TA505新恶意活动,分发ServHelper后门和FlawedGrace RAT


研究人员发现犯罪团伙TA505通过网络钓鱼活动分发ServHelper后门和FlawedGrace RAT。攻击者继续瞄准金融和零售行业,并通过恶意的Microsoft Word、Publisher和PDF文件感染用户。根据Proofpoint的研究,TA505已在网络犯罪领域至少活跃了四年,与之相关的恶意软件包括银行木马Dridex、勒索软件Locky、Philadelphia和GlobeImposter。此次攻击活动中共分发了ServHelper的两种变体。


原文链接:

https://www.bleepingcomputer.com/news/security/new-servhelper-backdoor-and-flawedgrace-rat-pushed-by-necurs-botnet/


3、Systemd三个提权漏洞,影响大多数Linux发行版



Qualys安全研究人员在Systemd中发现三个安全漏洞,这些漏洞可允许无特权的本地攻击者或恶意程序在目标系统上获得root访问权限。这三个漏洞(CVE-2018-16864、CVE-2018-16865和CVE-2018-16866)存在于systemd-journald服务中,该服务用于收集信息和创建日志。研究人员表示这些漏洞影响了所有基于systemd的Linux发行版,包括Redhat和Debian。但也有一些发行版,例如SUSE、Fedora不受影响。建议用户尽快安装修补程序。


原文链接:

https://thehackernews.com/2019/01/linux-systemd-exploit.html


4、谷歌宣布其DNS服务支持DNS-over-TLS安全协议


由于DNS查询是通过UDP或TCP以明文形式发送的,因此该信息可以泄露用户访问的网站,并且易受欺骗攻击。为了解决这个问题,本周三谷歌宣布其公共DNS服务支持DNS-over-TLS安全协议,这意味着DNS查询和响应将通过TLS加密的TCP连接进行通信,可以有效避免中间人攻击。此外,谷歌已经为Android 9用户提供了DNS-over-TLS,该部分用户可以立刻切换到DNS-over-TLS。


原文链接:

https://thehackernews.com/2019/01/google-dns-over-tls-security.html


5、美国超过80个政府网站的TLS证书过期


据ZDNet报道,美国超过80个政府网站的TLS证书已经过期,并且没有被更新,部分网站已经无法访问。据Netcraft称,受影响的政府机构包括NASA、美国司法部和美国联邦上诉法院等。部分实施了HSTS的网站由于证书过期已经无法被用户访问,而未实施HSTS的网站将在用户的浏览器中显示HTTPS错误。研究人员将这一事件归咎于美国联邦政府的关闭,大量IT和网络安全人员被解雇,导致没有人可以续签这些证书。


 原文链接:

https://www.zdnet.com/article/government-shutdown-tls-certificates-not-renewed-many-websites-are-down/


6、新广告软件ICEPick-3PC,主要针对Android用户



Media Trust研究人员发现一个十分复杂的新广告软件ICEPick-3PC,研究人员认为其背后的有组织犯罪团伙正在开展针对Android用户的大规模攻击活动。攻击者将恶意代码注入到一些第三方库中,例如GreenSock动画平台(GSAP)-一个HTML5动画的JavaScript库。当用户点击受感染的广告时,恶意软件会在用户设备和远程设备之间建立RTC对等连接,并收集设备的指纹信息,包括设备的IP地址。


原文链接:

https://threatpost.com/icepick-adware-analysis/140722/


声明:本资讯由启明星辰维他命安全小组翻译和整理