安天每日安全简讯2019-12-05

每日安全简讯

Posted by 张嘉伟 on 2019-12-05        本文总阅读量

恶意软件CallerSpy伪装成聊天程序窃取用户信息

趋势科技的网络安全研究人员发现并详细描述了被称为CallerSpy的木马恶意软件,他们认为该恶意软件攻击是网络间谍活动的一部分。尽管被广告宣传为聊天应用程序,但CallerSpy应用程序不包含任何聊天功能,CallerSpy的恶意功能包括收集设备上所有的通话记录、短信、联系人列表和文件,能够使用手机的麦克风记录周围环境的音频,以及能够截屏用户活动。所有被盗的数据都会定期上传到攻击者那里。

https://www.zdnet.com/article/this-new-android-malware-comes-disguised-as-a-chat-app/

新版本的IcedID木马中使用了隐写负载


安全公司Proofpoint最近发布了一份报告,该报告涉及一系列归因于威胁行为者TA2101的垃圾邮件活动,恶意电子邮件浪潮针对美国,推动了IcedID木马。IcedID不仅是银行木马,而且是能够提取各种凭证的通用窃取者。该木马是由经验丰富的开发人员编写的成熟程序。 它部署了各种典型技术,包括Zeus风格的Webinject,用于各种浏览器的挂钩,隐藏的VNC和反向连接。在最近的更新中,恶意软件的作者给木马安装了隐写术。 在威胁环境中看到它并不是什么新鲜事物,但是它使此恶意软件更加隐蔽。

https://blog.malwarebytes.com/threat-analysis/2019/12/new-version-of-icedid-trojan-uses-steganographic-payloads/

两个恶意Python库窃取了SSH和GPG密钥


Python安全团队从PyPI(Python软件包索引)中删除了两个木马化的Python库,这些库被发现从受感染的开发人员的项目中窃取SSH和GPG密钥。第一个是“ python3-dateutil”,它模仿了流行的“ dateutil”库。 第二个是“jeIlyfish”(第一个L是I),它模仿“jellyfish”库。这两名恶意克隆者是在12月1日周日被德国软件开发人员Lukas Martini发现的。在Martini通知dateutil开发人员和PyPI安全团队后,这两个库都被删除了。

https://www.zdnet.com/article/two-malicious-python-libraries-removed-from-pypi/

西门子的S7-1200 PLC产品中存在安全漏洞


西门子最近发布了一份安全公告,其中包含针对研究人员在其S7-1200可编程逻辑控制器(PLC)中发现的漏洞的变通办法和缓解措施,该漏洞可用于绕过固件完整性检查以加载恶意软件或劫持设备的工业流程。西门子表示:“我们正在审查我们的产品模型,并将在SSA-686531上发布更新,以防其他模型受到影响。研究人员还发现,可编程逻辑控制器(PLC)中的特殊访问功能也可以很好地用作:作为防御者的取证工具。他们利用该功能查看PLC存储器的内容,因此工厂操作员也可以使用它来查找设备上的恶意代码。

https://www.darkreading.com/vulnerabilities/threats/siemens-offers-workarounds-for-newly-found-plc-vulnerability/d/d-id/1336503

GoAhead嵌入式Web服务器中存在安全漏洞


思科Talos的专家在GoAhead的嵌入式web服务器中发现了两个漏洞,包括一个超危的远程代码执行漏洞。第一个漏洞(跟踪为CVE-2019-5096)与如何处理多部分/表单数据请求有关。未经身份验证的攻击者可以利用这个缺陷触发一个空闲后使用的条件,并通过发送特殊的HTTP请求在服务器上执行任意代码。Talos在GoAhead web服务器中发现的第二个漏洞(被跟踪为CVE-2019-5097)可被未经身份验证的攻击者利用,通过发送经过特殊处理的HTTP请求来造成拒绝服务(DoS)条件。Talos在8月份向EmbedThis报告了这些漏洞,供应商在11月21日修复了它们。

https://securityaffairs.co/wordpress/94692/hacking/goahead-rce.html

Accusoft ImageGear中存在代码执行漏洞


思科Talos发现,文档和映像库Accusoft ImageGear中的漏洞可能使攻击者能够在易受攻击的计算机上远程执行代码。作为CVE-2019-5083进行跟踪,第一个问题影响igcore19d.dll TIF_decode_thunderscan函数。第二个漏洞CVE-2019-5076影响了该工具包的igcore19d.dll PNG标头解析器。在ImageGear的igcore19d.dll GEM Raster解析器中发现了另一个越界写入漏洞。跟踪为CVE-2019-5132,它需要特制的GEM文件才能在受影响的系统上执行代码。第四个漏洞CVE-2019-5133影响了该库的igcore19d.dll BMP解析器。思科Talos于7月底将漏洞报告给Accusoft。上周发布了补丁。

https://www.securityweek.com/code-execution-vulnerabilities-patched-accusoft-imagegear