安全周报（05.25-05.31）

安联智库WTX 2020-06-01 15:32:26

1

泰国移动运营商泄露83亿互联网记录

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问，数据库包含大约 83 亿记录，容量约为 4.7 TB，每 24 小时增加 2 亿记录。

AIS 是泰国最大的 GSM 移动运营商，用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查询日志和 NetFlow 日志，这些数据可用于绘制一个用户的网络活动图。

微信图片_20200601153454.jpg

2

多个国家的在线商店遭黑客入侵，SQL数据库正在出售

黑客正在出售从多个国家的在线商店窃取的SQL数据库。该数据库总共包含1620000行，公开的记录包括了电子邮件地址、名称、哈希密码（例如bcrypt、MD5）、邮政地址、性别、出生日期等。

通过在网上公开的不安全的服务器，黑客入侵网站、窃取数据库并留下了赎金信息：索要 0.06个BTC（按当前价格485美元），如果受害人在10天内不支付赎金，他们就有会面临数据库泄露的风险。

根据观察，几个用来交赎金的黑客钱包已经收到了100多笔交易，总金额是5.8比特币（按当前价格47150美元）。而这些钱包的使用记录最是在2019年9月20日，最近的一次是从5月20日开始的，仅本月就有9个使用记录。可见，该黑客非常活跃。

目前，黑客提供了31个数据库，并提供了一个样本供买方检查数据的真实性。而一些数据库的日期为2016年，但数据始于2020年3月28日。

同时，列出的大多数数据库来自德国的在线商店，其余来自巴西、美国、意大利、印度、西班牙和白俄罗斯。而所有被黑的商店运行着Shopware、JTL-Shop、PrestaShop、OpenCart和CMS电子商务（v2）。

微信图片_20200601153557.jpg

3

可以劫持九成Android设备的漏洞：StrandHogg

挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞，恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。

在2019年12月，Promon曾警告说，一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。

Promon透露已经发现了另一个类似的Adndroid漏洞，将其命名为StrandHogg 2.0（CVE-2020-0096），并称其为StrandHogg的“邪恶双胞胎”。

与StrandHogg1.0版本漏洞类似，StrandHogg 2.0可以被利用来劫持应用程序，但该公司警告说：“2.0版本可以进行更广泛的攻击，并且更难检测。”

恶意软件利用StrandHogg 2.0不需要任何权限，受害者只需执行恶意应用即可触发利用。如果利用成功，则攻击者可以滥用被劫持的应用程序来获取读取SMS消息，窃取文件，网络钓鱼登录凭据，跟踪设备的位置，拨打或记录电话以及通过电话的麦克风和间谍监视用户所需的特权。相机。

Promon表示尚不知道有任何利用此新漏洞的恶意软件，但它预测黑客会同时利用StrandHogg和StrandHogg 2.0，因为这两个漏洞方法不同，双管齐下可以尽可能扩大目标的攻击面。

原文链接：http://www.seczk.com/?type=newsinfo&S_id=1886

微信图片_20200601153748.jpg

4

高通芯片曝出漏洞，可让黑客窃取Android设备中的敏感数据

据外媒报道，本周，美国安局(NSA)警告公众，俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉，这个受影响的邮件系统是用于基于Unix的系统的MTA软件--Exim mail。该软件默认安装在许多Linux发行版中。

虽然这个漏洞的原始补丁早在去年已经发布，但许多计算机在运行Exim时仍没有安装这个补丁。

据了解，漏洞代码为CVE-2019-10149，其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。

根据NSA发布的文件，利用这一漏洞发起攻击的俄罗斯组织是Sandworm。他们认为这些俄罗斯网络行动者来自GRU特殊技术中心(GTsST) 74455小组。这些俄罗斯行为者被指通过利用该漏洞增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络，可以说几乎能够实现任何攻击者的梦想访问，而他们要利用的就是未打补丁的Exim MTA版本。