威胁情报日报（2019.11.15）

今天值得关注的威胁情报

1.赛门铁克的一个DLL劫持利用
DLL劫持缺陷影响Symantec Endpoint Protection

Symantec Endpoint Protection是最新的防病毒产品，可以将DLL不安全地加载到以SYSTEM特权运行的进程中。SafeBreach安全研究人员在新博客中解释说，该软件受到漏洞的影响，该漏洞可能使具有管理特权的攻击者绕过自卫机制并加载未签名的DLL文件。

研究人员说，问题在于Symantec Endpoint Protection（一种以NT AUTHORITY \ SYSTEM身份运行的签名进程，这意味着它在计算机上具有最高特权）正试图加载不在预期路径上的DLL。

情报来源：
https://www.securityweek.com/dll-hijacking-flaw-impacts-symantec-endpoint-protection

2.TA2101假冒政府向德国、意大利和美国分发恶意邮件

研究人员最近发现了来自一个相对较新的攻击活动，该活动在内部被跟踪为TA2101，目标是德国公司和组织，以提供和安装后门恶意软件。

攻击者发起了竞选活动，冒充了德国联邦财政部的联邦议院（Bundeszentralamt fur Steuern），并在电子邮件中使用了相似的域名，文字和被盗商标。研究人员还观察到攻击者分发Maze勒索软件时采用了与Cobalt Strike相似的社会工程技术，同时还针对意大利的组织并假冒了意大利税务局Agenzia Delle Entrate。

情报来源：
https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us

3.APT33使用约12个C＆C服务器进行针对性攻击

被称为APT33的威胁组织主要针对石油和航空业。该威胁组织的报告已有多年，最新发现表明，该组织使用了大约十二个（C＆C）服务器进行极窄的目标锁定。该小组针对针对中东，美国和亚洲针对性极强的恶意软件攻击活动，进行了多层混淆处理。这些僵尸网络（每个僵尸网络由一小组组成，最多可包含十二台受感染的计算机）可用于在选定目标的网络内保持持久性。

情报来源：
https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-a-dozen-obfuscated-apt33-botnets-used-for-extreme-narrow-targeting/

4.一种警告密码将被更改的网络钓鱼骗局

正在进行的网络钓鱼活动，攻击者声称您的密码将过期并被更改，除非您登录并确认要保持不变。新的网络钓鱼电子邮件指出您需要单击“保持相同密码”按钮，否则密码将过期。一旦您这样做，攻击者现在将拥有您的登录凭据并能够访问您的电子邮件帐户。

情报来源：
https://www.bleepingcomputer.com/news/security/silly-phishing-scam-warns-that-your-password-will-be-changed/