头条：Trik僵尸网络泄露4300多万Email地址

TOP5

6月13日全球信安资讯

1

俄罗斯服务中心遭受系列网络攻击

>>>>

信源：Securityaffairs

网络安全公司Fortinet研究人员近期发现了一系列针对俄罗斯服务中心的网络攻击活动，采取邮件攻击方式，主要利用office恶意文档，尤其是利用CVE-2017-11882漏洞（excel代码远程执行漏洞）实施攻击。这些服务中心主要为各种电子产品提供维护和支持。

分析发现，攻击者利用shellcode作为攻击载荷。shellcode利用LoadLibraryA和GetProcAddress两个函数获取其他API函数地址（包括URLDownloadToFileW和ExpandEnvironmentStringsW等重要函数）。利用上述函数，恶意代码可以远程下载文件并保存到本地系统。文件下载完毕后，shellcode会尝试执行下载的可执行文件。

2

AirWatch Agent应用程序存远程代码执行漏洞

>>>>

信源：Securityaffairs

VMware公司发现，在Android和Windows Mobile设备上的AirWatch Agent应用程序中存在严重的远程执行代码漏洞（CVE-2018-6968）。该漏洞允许未经授权的攻击者创建并执行代理沙箱或其他可公开访问目录内的文件，比如攻击者在SD卡上创建的文件。Android 8.2和Windows Mobile6.5.2版本均受该漏洞影响，iOS版本的VMware AirWatch代理不受影响。

目前，VMware公司已为Android用户提供了解决方案，建议用户选择C2DM/GCM而不是选择AWCM作为首选推送通知服务，以避免再次受到影响。

3

恶意软件利用Mac安全工具漏洞伪装成合法Apple程序

>>>>

信源：bleepingcomputer

安全公司Okta的研究人员发现，Facebook、Google、VirusTotal等第三方Mac安全程序中存在一个安全漏洞，攻击者可利用这个漏洞创建恶意的伪装成由Apple签名的Fat可执行程序。

该漏洞是由于第三方安全程序没有使用正确的方法来检测可执行文件是否签名引起的。

存在问题的第三方安全产品包括VirusTotal，谷歌公司的Santa和molcodesignchecker，Facebook的OSQuery，Objective Development的LittleSnitch，F-secure的xFence，Objective-See的WhatsYourSignProcInfo、KnockKnock、LuLu和TaskExplorer，Yelp的OSXCollector，Carbon Black的Cb Response等产品。目前，F-Secure已更新了XFence产品。

4

Trik僵尸网络泄露4300多万Email地址

>>>>

信源：bleepingcomputer

Vertek安全公司研究人员在研究一个会传播GandCrab 3勒索软件的Trik木马样本时，发现Trik木马和GandCrab勒索程序都会从一个位于俄罗斯的服务器上下载恶意文件。而这台服务器由于错误配置，导致其上内容对任意用户可见，并可以通过直接ip访问获取文件内容。

研究人员表示在这台服务器上发现了2201个文本文件，文件名从1.txt到2201.txt顺序标记，每个文件包含大约2万个Email地址，2201个文件包含的Email地址达4300多万。这些email地址大部分来自雅虎（约1060万）和美国在线（约830万）等。

5

美国执法部门逮捕74名BEC诈骗分子

>>>>

信源：Securityaffairs

美国政府 11日宣布，美国国土安全部、财政部和美国邮政检验局等参与的执法部门在“operation WireWire”联合行动中，逮捕了74名涉嫌企业电子邮件诈骗（BEC）的犯罪嫌疑人，其中42名在美国捕获，29名在尼日利亚捕获，其余3名分别在加拿大、毛里求斯和波兰捕获。

联合行动期间，美国执法部门执行了超过51项的国内行为，包括搜查令、资产扣押令和资金冻结等。同时，美国执法部门还查获了约240万美元，追回约1400万美元的欺诈电汇。

声 明

本文内容由国外媒体发布，不代表聚锋实验室立场和观点。