研究人员发现了一种新的远程访问特洛伊木马（RAT），这似乎是专门针对政府和外交目标的威胁组织的一种攻击手段。

周四，思科 Talos 的研究人员说，名为 ObliqueRAT 的恶意软件正在针对东南亚目标的新攻击中进行部署。

最近的竞选活动于 2020 年 1 月开始，目前正在进行中。该计划背后的网络罪犯使用网络钓鱼电子邮件作为主要的攻击媒介，恶意的 Microsoft Office 文档附加在旨在部署 RAT 的欺诈性电子邮件上。

附件具有比较正式的名称，例如 Company-Terms.doc 或 DOT_JD_GM.doc，这可能是“电信部门_职位描述_总经理”的简称。 

网络钓鱼电子邮件的主体中可能包含打开文件所需的凭据，如果受害者输入了密码并打开了文档，则恶意的VB脚本将立即生效，提取恶意二进制文件并删除可执行文件，该可执行文件充当 ObliqueRAT 的删除程序。 

每次重新启动受感染的系统时，通过为可执行文件创建启动过程来维护持久性。 

Talos 认为 RAT 是“简单的”，并且包含典型木马的核心功能，包括能够提取文件和系统数据以传输到命令和控制（C2）服务器的能力。下载和执行其他有效负载的功能，以及终止现有进程的能力。 

但是，一个有趣的功能是，恶意软件会查找特定目录，以获取其中的文件。目录名称 C:\ProgramData\System\Dump 是硬编码的。 

研究人员说：“RAT 通过创建并检查一个名为 Oblique 的互斥体来确保在任何给定时间内，受感染的端点上都只运行其进程的一个实例。”如果端点上已存在命名互斥体，则 RAT 将停止执行，直到下次登录受感染的用户帐户。”

为了避免检测和逆向工程，该恶意软件还将检查系统的名称和信息，以了解 PC 被沙箱化的线索，例如使用用户名“test”。

根据 Talos 的说法，RAT 的传播方式与恶意文档中使用的VBA脚本变量之间的相似之处表明，它可能与 CrimsonRAT 建立了潜在的联系，CrimsonRAT 以前与同一地区的外交和政治组织的攻击有关。 

Talos说：“该活动表明，威胁行为者进行了有针对性的恶意文档分发，类似于在 CrimsonRAT 分发中使用的恶意文档。” “但是，突出的是，参与者现在正在分发一个新的RATS系列。尽管它在技术上并不复杂，但是 ObliqueRAT 包含大量功能，可用于在受感染的端点上执行各种恶意活动。 ”

来源：ZDNet

更多资讯

关于 Apache Tomcat 存在文件包含漏洞的安全公告

2020 年 1 月 6 日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞（CNVD-2020-10487，对应 CVE-2020-1938）。攻击者利用该漏洞，可在未授权的情况下远程读取特定目录下的任意文件。目前，漏洞细节尚未公开，厂商已发布新版本完成漏洞修复。

来源：开源中国
详情链接： https://www.dbsec.cn/blog/news.html

WIFi 5 最后的疯狂 2019 年无线路由器市场报告

2019年无线路由器市场面对首批WiFi 6产品的来势汹汹，WiFi 5产品掀起了最后的疯狂。在产品方面，全千兆端口+1300Mbps速率已经成为标配。在下半年的市场中，各个厂商更是接连推出2100Mbps的低价产品，将原来发烧级的产品规格拉低到了150元左右。

来源：中关村在线
详情链接： https://www.dbsec.cn/blog/news.html 

独立监督委员有望保障非盈利性 .ORG 域名持有者的权益

自从负责 .ORG 域名注册业务的非营利组织 PIR 被 Ethos Capital，有关这家私营机构的批评和质疑就从未停下来过。尽管 Ethos Capital 试图通过一系列新规则来安抚，但购买 .ORG 顶级域名的组织，仍希望建立一个独立的“管理委员会”、并通过合同的形式，以禁止向非营利性域名持有者收取高额的费用。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/news.html 

（信息来源于网络，安华金和搜集整理）