威胁情报日报（2019.10.21）

今天值得关注的威胁情报：

1.WAV音频文件中的恶意代码
音频文件中隐藏了三个不同的加载程序和两个有效负载。安全威胁研究人员称，该嵌入式代码包含用于解码和执行恶意软件的三种不同的加载程序组件之一。用户可能没有一个更明智的选择：播放时，WAV文件产生的音乐没有明显的质量问题，或者在某些情况下会产生静态白噪声。研究人员在该活动中发现了两个有效载荷：一个XMRig / Monero CPU加密矿工和用于建立反向外壳的Metasploit代码。

情报来源：
https://threatpost.com/wavs-hide-malware/149240/

2.勒索病毒袭击皮特尼·鲍斯(Pitney Bowes)
全球运输和邮寄服务Pitney Bowes遭受了勒索软件攻击，该攻击已对其计算机系统上的数据进行加密，并破坏了客户对其在线服务的访问。针对该公司的勒索软件攻击使客户无法在其冲压设备上充值，SendPro产品，邮资补充和访问在线帐户区域均受到影响。该公司没有透露感染其系统的勒索软件的名称，也没有详细说明犯罪分子要求的赎金数额（或者实际上该公司是否准备向勒索者支付赎金）。

情报来源：
https://hotforsecurity.bitdefender.com/blog/ransomware-attack-hits-pitney-bowes-impacting-company-mail-rooms-around-the-world-21633.html

3.欧洲机场系统感染Monero-挖矿木马
在欧洲国际机场的所有计算系统的50％以上，最近发现被感染了Monero挖矿木马。幸运的是，除了影响受感染系统的整体性能并导致功耗增加之外，XMRig Monero矿机也没有影响机场的运营。

情报来源：
https://www.bleepingcomputer.com/news/security/european-airport-systems-infected-with-monero-mining-malware/

4.你的Docker容器可能充满了Graboid加密蠕虫
研究人员称，该蠕虫旨在挖Monero币，到目前为止，已经感染了2,000多台不安全的Docker引擎（社区版）主机，这些主机正在清理中。最初的恶意Docker镜像已被下载了10,000次以上，蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录，查找名为“ gakeaws / nginx”的镜像来发现感染。

攻击者通过不安全的Docker daemons获得了最初的立足点，该daemons首先安装了Docker镜像以在受感染的主机上运行。另外，攻击者无需任何身份验证或授权，即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播挖矿木马。

情报来源：
https://www.freebuf.com/news/217163.html

5.研究人员发现黑客组织Dukes的最新活动
秘密的俄罗斯黑客组织以聪明的新技巧重新出现。研究人员发布了新发现，揭示了一群黑客组织进行长达一年的间谍活动，这些黑客以Cozy Bear和APT29的名称而闻名，安全专家发现该组织已渗透了至少三个目标网络：两个东欧国家和一个欧盟国家。研究人员拒绝更详细地透露这些受害者的身份，并指出，目标可能比发现的目标还要多。

情报来源：
https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/